diff options
| author | Ganbold Tsagaankhuu <ganbold@FreeBSD.org> | 2009-05-19 15:06:28 +0000 |
|---|---|---|
| committer | Ganbold Tsagaankhuu <ganbold@FreeBSD.org> | 2009-05-19 15:06:28 +0000 |
| commit | 494499fdd2c84b0d1ad3b84d041ffd429f75701e (patch) | |
| tree | 086ebe46e79852578c2c1fbb7c64bf60e1d48e84 /mn_MN.UTF-8/books/handbook/firewalls | |
| parent | 9eb6b7a81473a66b88629ffeb8b1d9574b1780e7 (diff) | |
| download | doc-494499fdd2c84b0d1ad3b84d041ffd429f75701e.tar.gz doc-494499fdd2c84b0d1ad3b84d041ffd429f75701e.zip | |
MFen: Resync with the English version of the handbook
Obtained from: FreeBSD Mongolian Documentation project
Notes
Notes:
svn path=/head/; revision=34288
Diffstat (limited to 'mn_MN.UTF-8/books/handbook/firewalls')
| -rw-r--r-- | mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml | 636 |
1 files changed, 303 insertions, 333 deletions
diff --git a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml index dd851aedfa..325dd5dac9 100644 --- a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml +++ b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml @@ -1,7 +1,7 @@ <!-- The FreeBSD Mongolian Documentation Project - Original revision 1.86 + Original revision 1.87 $FreeBSD$ --> @@ -114,12 +114,22 @@ Хамааруулаагүй галт хана нь дүрмэнд тохирсон урсгалаас бусдыг нэвтрүүлнэ. Харин хамааруулсан галт хана бол эсрэгээр нь, дүрмэнд тохирсон урсгалыг нэвтрүүлж бусдыг хаана.</para> - <para>Болохгүй урсгалыг галт ханаар нэвтрүүлэх эрсдэлийг + <para>Хамааруулсан галт хана нь Интернэтэд үйлчилгээнүүдийг санал + болгодог системүүдийн хувьд илүү сайн сонголт болдог бөгөөд гарч байгаа + урсгалыг илүү сайн хянах боломжийг олгодог. Энэ нь Интернэтээс таны хувийн + сүлжээ рүү хандах урсгалыг бас хянадаг. Дүрэмд харгалзаж тохирохгүй + бүх урсгалыг хааж бүртгэдэг. + Болохгүй урсгалыг галт ханаар нэвтрүүлэх эрсдэлийг багасгадаг учраас хамааруулсан галт хана нь хамааруулаагүй галт ханыг бодвол илүүтэйгээр аюулгүй байдлыг хангаж чаддаг.</para> + <note> + <para>Зааж хэлээгүй л бол энэ бүлгийн бүх тохиргоо болон дүрмүүд + нь хамааруулсан галт ханыг үүсгэдэг.</para> + </note> + <para><quote>Төлөвт галт ханыг</quote> ашиглан аюулгүй байдлыг цааш илүү сайжруулах боломжтой. - Төлөвт галт хана нь галт ханаар дамжин тогтсон холболтуудыг бүртгэж, + Энэ төрлийн галт хана нь галт ханаар дамжин тогтсон холболтуудыг бүртгэж, зөвхөн таарч байгаа тогтсон холболтоор эсвэл шинэ холболт үүсгэн урсгалыг нэвтрүүлдэг. Төлөвт галт ханын нэг дутагдалтай тал гэвэл олон шинэ холболтууд нэг дор тогтох үед Denial of Service буюу Үйлчилгээг Зогсоох(<acronym>DoS</acronym>) халдлагад өртөмтгий болдог. Иймээс галт ханыг @@ -137,8 +147,8 @@ &os; нь мөн урсгалыг хязгаарлах(үндсэндээ зурвасын өргөнийг хязгаарлах) хоёр багцын хамт ирдэг: &man.altq.4; болон &man.dummynet.4;. Dummynet нь анхнаасаа <acronym>IPFW</acronym>-тай, харин <acronym>ALTQ</acronym> нь <acronym>PF</acronym>-тэй нягт холбоотой ажилладаг. - <acronym>IPFILTER</acronym>-ийн хувьд урсгал хязгаарлалтыг хийхдээ - NAT болон шүүлтэд <acronym>IPFILTER</acronym>-ийг ба + IPFILTER-ийн хувьд урсгал хязгаарлалтыг хийхдээ + NAT болон шүүлтэд IPFILTER-ийг ба <acronym>IPFW</acronym>-ийг &man.dummynet.4;-тэй цуг юм уу <emphasis>эсвэл</emphasis> <acronym>PF</acronym>-ийг <acronym>ALTQ</acronym>-тай цуг ашиглан хийж болно. @@ -154,7 +164,7 @@ гадагшаа гарах FTP урсгалыг зөвшөөрсөн дүрмүүдийг бичихэд хялбар байдаг.</para> <para>Бүх галт ханууд пакет удирдах талбарын утгыг шинжлэх зарчмаар ажиллах тул - галт ханын дүрмүүдийг бичихийн өмнө <acronym>TCP</acronym>/IP протокол хэрхэн + галт ханын дүрмүүдийг бичихийн өмнө <acronym>TCP/IP</acronym> протокол хэрхэн ажилладаг талаар болон пакет удирдах талбарын утгууд, энэ утгууд session буюу сесс үүсэхэд хэрхэн хэрэглэгддэг талаар үндсэн ойлголттой байх шаардлагатай болдог. Дээрх ойлголтуудын талаар дараах хаягаар орж уншина уу: @@ -266,7 +276,7 @@ гэгддэг боломжийг ашиглахын тулд та тэгж хийж өгч болох юм. Үүнийг &man.carp.4;-тэй хослуулан ажиллагаа доголдоход тойрон гарах галт ханаыг <acronym>PF</acronym> ашиглан бүтээж болно. <acronym>CARP</acronym>-ийн - талаар дэлгэрэнгүйг гарын авлагын <link linkend="carp">бүлэг 29</link>-с + талаар дэлгэрэнгүйг гарын авлагын <xref linkend="carp">-с үзэж болно.</para> <para>Цөмийн <acronym>PF</acronym> тохиргоонуудыг @@ -419,28 +429,28 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> <para><literal>options ALTQ</literal> мөр <acronym>ALTQ</acronym> -г бүхэлд нь идэвхжүүлнэ.</para> - <para><literal>options ALTQ_CBQ</literal> мөр Class Based Queuing + <para><literal>options ALTQ_CBQ</literal> мөр <emphasis>Class Based Queuing</emphasis> буюу Ангиллаас Хамаарсан Дараалал Үүсгэх(<acronym>CBQ</acronym>) боломжийг идэвхжүүлнэ. <acronym>CBQ</acronym> нь шүүгч дүрмүүд дээр үндэслэн урсгалуудад эрэмбэ тогтоох зорилгоор зурвасын өргөнийг өөр өөр ангиллуудад болон дарааллуудад хуваах боломжийг олгоно.</para> - <para><literal>options ALTQ_RED</literal> мөр Random Early - Detection буюу Санамсаргүй Эрт Илрүүлэлт(<acronym>RED</acronym>)-г идэвхжүүлнэ. + <para><literal>options ALTQ_RED</literal> мөр <emphasis>Random Early + Detection</emphasis> буюу Санамсаргүй Эрт Илрүүлэлт(<acronym>RED</acronym>)-г идэвхжүүлнэ. <acronym>RED</acronym>-г сүлжээний даац хэтрэхээс сэргийлэхэд хэрэглэдэг. <acronym>RED</acronym> дарааллын уртыг хэмжиж, түүнийг байх ёстой дээд ба доод хэмжээтэй жиших байдлаар ажилладаг. Хэрэв дараалал дээд хэмжээнээс урт болбол шинэ пакетууд орхигдох болно. Нэртэйгээ адилаар, <acronym>RED</acronym> нь холболтуудаас пакетийг санамсаргүйгээр орхигдуулдаг.</para> - <para><literal>options ALTQ_RIO</literal> мөр нь Random Early - Detection In and Out буюу Орох ба Гарах Санамсаргүй Эрт Илрүүлэлтийг идэвхжүүлнэ.</para> + <para><literal>options ALTQ_RIO</literal> мөр нь <emphasis>Random Early + Detection In and Out</emphasis> буюу Орох ба Гарах Санамсаргүй Эрт Илрүүлэлтийг идэвхжүүлнэ.</para> <para><literal>options ALTQ_HFSC</literal> мөр нь -Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхаргат Зохимжит Үйлчилгээний Муруйн Пакет Хуваарилагчийг +<emphasis>Hierarchical Fair Service Curve Packet Scheduler</emphasis> буюу Үе давхаргат Зохимжит Үйлчилгээний Муруйн Пакет Хуваарилагчийг идэвхжүүлнэ. <acronym>HFSC</acronym> талаар илүү дэлгэрэнгүй мэдээллийг дараах хаягаас үзнэ үү: <ulink url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para> - <para><literal>options ALTQ_PRIQ</literal> мөр нь Priority Queuing буюу Эрэмбэт Дараалал Үүсгэх + <para><literal>options ALTQ_PRIQ</literal> мөр нь <emphasis>Priority Queuing</emphasis> буюу Эрэмбэт Дараалал Үүсгэх (<acronym>PRIQ</acronym>)-г идэвхжүүлнэ. <acronym>PRIQ</acronym> нь эрэмбэ өндөртэй дараалалд байгаа урсгалыг эхэнд нэвтрүүлэх зарчмаар ажилладаг.</para> @@ -459,10 +469,6 @@ Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхарга <secondary>IPFILTER</secondary> </indexterm> - <note> - <para>Энэ хэсэг дээр үргэлжлүүлэн ажиллаж байна. Агуулга зарим хэсэгт буруу байхыг үгүйcгэхгүй.</para> - </note> - <para>IPFILTER-г зохиосон хүн бол Даррин Рид билээ. IPFILTER нь үйлдлийн системээс хамааралгүй: нээлттэй эхийн програм бөгөөд &os;, NetBSD, OpenBSD, &sunos;, HP/UX, ба &solaris; зэрэг олон үйлдлийн систем уруу @@ -485,24 +491,12 @@ Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхарга хэрэгцээ шаардлагад илүү нийцэх болжээ. IPF-н албан ёсны баримтжуулалтанд хуучин уламжлалт дүрмүүдийг бичих параметрүүд болон файлтай ажиллах логикууд багтсан байдаг. Харин шинэ функцуудыг нь зөвхөн нэмэлт боломж байдлаар оруулсан нь аюулгүй байдлыг хавьгүй -илүү хангасан галт хана бий болгож байгаа тэднийг хэт доогуур тавьсан санагддаг.</para> +илүү хангасан аюулгүй галт хана бий болгож байгаа тэднийг хэт доогуур тавьсан санагддаг.</para> <para>Энэ бүлэгт байгаа зааврууд нь <quote>quick</quote> болон төлөвт <quote>keep state</quote> тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг бичих үндсэн арга барил юм.</para> - <!-- XXX: something like this already in - <xref linkend="firewalls-concepts"> - AND: the para below is repeated 3 times in this chapter--> - - <para>Хамааруулсан галт хана нь зөвхөн дүрмэнд тохирсон пакетуудыг нэвтрүүлнэ. -Ийм маягаар галт ханын цаанаас Интернэт уруу ямар ямар үйлчилгээнүүд -гарч болох болон эсрэгээр Интернэтээс дотоод сүлжээ уруу ямар ямар үйлчилгээнүүд нэвтэрч -болохыг удирдах боломжтой. Эдгээрээс бусад бүх урсгалыг хааж, бүртгэдэг байхаар зохиогдсон -байдаг. Хамааруулсан галт хана нь хамааруулаагүй галт ханаас аюулгүй байдлын хувьд -хэд дахин илүү, тиймээс энд бид зөвхөн хамааруулсан галт ханын дүрмүүдийн талаар -ярилцах болно.</para> - <para>Хуучин уламжлалт дүрмүүдтэй ажиллах аргуудын талаар дэлгэрэнгүй тайлбарыг: <ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink> ба <ulink @@ -524,7 +518,7 @@ Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхарга </indexterm> <para>IPF нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг. -rc.conf тохиргооны файл дотор ipfilter_enable="YES" илэрхийлэл байгаа үед систем IPF цөмийн +<filename>rc.conf</filename> тохиргооны файл дотор ipfilter_enable="YES" илэрхийлэл байгаа үед систем IPF цөмийн модулийг динамикаар ачаална. Энэ ачаалах боломжтой модуль нь бүртгэх боломжтойгоор, анхдагч <literal>default pass all</literal> тохируулгын хамт бүтээгдсэн байдаг. Анхдагч дүрмийг <literal>block all</literal> болгохын тулд IPF-г цөмд эмхэтгэх шаардлага байхгүй. Зөвхөн @@ -612,8 +606,8 @@ ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat</programlist <indexterm><primary><command>ipf</command></primary></indexterm> - <para>Таны бичсэн дүрмүүдийг ачаалахад ipf тушаалыг хэрэглэнэ. Ер нь бол -та өөрийн дүрмүүдээс бүтсэн файлыг үүсгээд, түүнийгээ дээрх тушаалын ашиглан + <para>Таны бичсэн дүрмүүдийг ачаалахад &man.ipf.8; тушаалыг хэрэглэнэ. +Та өөрийн дүрмүүдээс бүтсэн файлыг үүсгээд, түүнийгээ дээрх тушаалын ашиглан галт ханын одоо ажиллаж байгаа дотоод дүрмүүдтэй сольж тавьна гэсэн үг юм:</para> <screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen> @@ -726,17 +720,17 @@ ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat</programlist </indexterm> <para><command>ipmon</command> тушаал зохистой ажиллахын тулд цөмийн -IPFILTER_LOG тохируулга идэвхжсэн байх ёстой. Энэ тушаал хоёр өөр горимд +<literal>IPFILTER_LOG</literal> тохируулга идэвхжсэн байх ёстой. Энэ тушаал хоёр өөр горимд ажиллах чадвартай. Төрөлх горим нь энэ тушаалыг тушаал мөрөн дээр <option>-D</option> туггүйгээр оруулахад ажиллах анхдагч горим юм.</para> <para>Демон горим нь болж өнгөрсөн үйл явцын бүртгэлийг эргэж харахын тулд системийн бүртгэлийг тасралтгүй хөтлөн явуулахад тохиромжтой горим юм. &os; болон IPFILTER энэ горимд ажиллахаар тохируулагдсан байдаг. &os; -нь системийн бүртгэлийг автоматаар тойруулах чадвартай. Тиймээс бүртгэлийн мэдээллийг syslogd +нь системийн бүртгэлийг автоматаар тойруулах чадвартай. Тиймээс бүртгэлийн мэдээллийг &man.syslogd.8; процесс уруу гаргах нь энгийн файл уруу гаргах анхдагч аргаас дээр байдаг. -Анхдагч <filename>rc.conf</filename> файл дотор ipmon_flags илэрхийлэл -<option>-Ds</option> тугуудыг хэрэглэсэн байхыг олж харж болно:</para> +Анхдагч <filename>rc.conf</filename> файл дотор <literal>ipmon_flags</literal> илэрхийлэл +<option>-Ds</option> тугуудыг хэрэглэдэг:</para> <programlisting>ipmon_flags="-Ds" # D = start as daemon # s = log to syslog @@ -753,7 +747,7 @@ IPFILTER_LOG тохируулга идэвхжсэн байх ёстой. Энэ log түлхүүр үгийг нэмж өгнө. Ер нь, зөвхөн deny дүрмүүдийн бүртгэл бичигддэг.</para> <para>Бүгдийг хориглосон анхдагч дүрмийг log түлхүүр үгийн хамт дүрмүүдийнхээ -хамгийн төгсгөлд бичиж өгөх нь нилээд өргөн хэрэглэгддэг арга юм. Ийм байдлаар +хамгийн төгсгөлд бичиж өгөх нь нилээд өргөн хэрэглэгддэг арга юм. Ингэснээр таны дүрмүүдийн алинтай ч тохироогүй пакетуудыг мэдэх боломжтой болно.</para> </sect2> @@ -774,14 +768,15 @@ LOG_ERR - бүртгэсэн пакетууд болон богино гэгдс <!-- XXX: "can be considered short" == "with incomplete header" --> <para>IPFILTER-н бүх бүртгэлийн мэдээллийг <filename>/var/log/ipfilter.log</filename> -файл дотор бичихийн тулд, та энэ файлыг эхлээд үүсгэх хэрэгтэй. Үүний тулд дараах +файл дотор бичихийн тулд, файл эхлээд үүссэн байх хэрэгтэй. Үүний тулд дараах тушаалыг өгөх хэрэгтэй:</para> <screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen> - <para>syslog-н функцуудыг <filename>/etc/syslog.conf</filename> файл доторх + <para>&man.syslogd.8;-н функцуудыг <filename>/etc/syslog.conf</filename> файл доторх тодорхойлох илэрхийллүүдээр удирдаж болно. <filename>syslog.conf</filename> файл нь -IPF мэт програмуудын үүсгэсэн системийн мэдэгдлүүдтэй ажиллахад уян хатан болгодог.</para> +IPF мэт програмуудын үүсгэсэн системийн мэдэгдлүүдтэй <application>syslog</application>-г + ажиллахад уян хатан болгодог.</para> <para>Дараах илэрхийллүүдийг <filename>/etc/syslog.conf</filename> файл дотор нэмж бичнэ үү:</para> @@ -793,7 +788,7 @@ IPF мэт програмуудын үүсгэсэн системийн мэдэ <para><filename>/etc/syslog.conf</filename> файлд хийсэн өөрчлөлтүүдийг идэвхжүүлэхийн тулд та системээ дахин ачаалах эсвэл <command>/etc/rc.d/syslogd reload</command> -тушаалыг ашиглан syslog процессод <filename>/etc/syslog.conf</filename> файлыг дахин уншуулах +тушаалыг ашиглан &man.syslogd.8; демонд <filename>/etc/syslog.conf</filename> файлыг дахин уншуулах хэрэгтэй.</para> <para>Дээр шинээр үүсгэсэн бүртгэлийг тойруулахын тулд @@ -838,16 +833,16 @@ S, p, b, n, L. Том P эсвэл B үсэг нь тухайн пакет ям <listitem> <para>Хаягууд. Үндсэндээ гурван талбар байна: эхлэл хаяг болон порт (таслалаар тусгаарлагдсан), -> тэмдэг, ба очих хаяг болон порт. -209.53.17.22,80 -> 198.73.220.17,1722.</para> +Жишээ нь <literal>209.53.17.22,80 -> 198.73.220.17,1722</literal>.</para> </listitem> <listitem> - <para><literal>PR</literal>-н дараа протоколын нэр болон дугаар, жишээлбэл PR tcp.</para> + <para><literal>PR</literal>-н дараа протоколын нэр болон дугаар, жишээлбэл <literal>PR tcp</literal>.</para> </listitem> <listitem> <para><literal>len</literal>-ы дараа толгойн урт болон -пакетийн нийт урт, жишээлбэл len 20 40.</para> +пакетийн нийт урт, жишээлбэл <literal>len 20 40</literal>.</para> </listitem> </orderedlist> @@ -865,12 +860,12 @@ ICMP мэдэгдэл болон дэд мэдэгдлийн төрөл, жиш <para>Зарим туршлагатай IPF хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд түүнийгээ симбол орлуулалттай скрипт байдлаар ажиллуулах боломжтой болгон бичдэг. -Үүний гол давуу тал нь та зөвхөн симбол нэрд харгалзах утгыг өөрчилбөл, скриптийг ажиллуулахад +Үүний гол давуу тал нь зөвхөн симбол нэрд харгалзах утгыг өөрчлөх хэрэгтэй бөгөөд, скриптийг ажиллуулахад уг симбол орлуулалт орсон дүрэм бүр шинэ утгыг авах болно. Скриптийн хувьд, олон дахин хэрэглэгддэг утгуудыг бичихэд симбол орлуулалтыг ашиглаж, тэдгээрийг олон дүрмэнд орлуулж өгнө гэсэн үг юм. Дараах жишээн дээрээс харна уу.</para> - <para>Энд хэрэглэгдсэн скриптийн синтакс нь sh, csh, ба tcsh бүрхүүл дээр ажиллах + <para>Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, ба &man.tcsh.1; бүрхүүл дээр ажиллах боломжтой.</para> <para>Симбол орлуулалтын талбарууд нь урдаа долларын тэмдэгтэй байна: <literal>$</literal>.</para> @@ -936,7 +931,7 @@ IPF симбол орлуулалтыг ойлгохгүй, ийм скрипт <para><filename>/etc/rc.conf</filename> файл дотор <literal>ipfilter_enable="NO"</literal> (энэ анхдагч утга) мөрийг нэмэн системийн эхлэл скриптэд IPFILTER-г идэвхгүй болго.</para> - <para>Дээрхтэй адил скриптийг өөрийн <filename>/usr/local/etc/rc.d/</filename> эхлэл хавтаст + <para>Дээрхтэй адил скриптийг өөрийн <filename class="directory">/usr/local/etc/rc.d/</filename> эхлэл хавтаст байрлуул. Энэ скрипт <filename>ipf.loadrules.sh</filename> ч юм уу ойлгомжтой нэртэй байх ёстой. <filename>.sh</filename> гэсэн өргөтгөлтэй байх ёстой.</para> @@ -957,22 +952,18 @@ sh /etc/ipf.rules.script</programlisting> <sect2> <title>IPF Дүрмүүдийн олонлог</title> - <!-- XXX: looks incorrect (and duplicated 2 times in this chapter): - 1. Packet can be processed two times depend of firewall - firewall configuration, but "return trip back" is - another packet. - 2. "Each TCP/IP service ... is predefined by its protocol ..." - - this shold be about packet and it's parameters - (source/destination address and port). --> - <para>Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг -нэвтрүүлэх болон хаахыг хэлж байгаа дүрмүүдийг дүрмийн олонлог гэнэ. Хостуудын -хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. галт ханын -дүрмийн олонлогоор пакет хоёр дахин шүүгдэнэ, эхний удаа Интернэтээс пакетийг -хүлээн авахад, дараагийн удаа буцаж Интернэт рүү гарч явахад. Бүх TCP/IP үйлчилгээнүүдийн -хувьд (жишээ нь: telnet, www, mail, г.м.) ямар протоколоор ажиллах болон эхлэл ба -очих IP хаяг, эхлэл ба очих порт хаяг зэргийг урьдаас тодорхойлж өгсөн байдаг. -Эдгээр үзүүлэлтүүд дээр үндэслэн нэвтрүүлэх болох хаах дүрмүүдийг зохиодог.</para> +нэвтрүүлэх болон хаахыг хэлж байгаа IPF дүрмүүдийг дүрмийн олонлог гэнэ. Хостуудын +хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын +дүрмийн олонлог нь Интернэтээс ирж байгаа пакетуудыг болон систем +буцааж тэдэнд хариу өгсөн пакетуудыг боловсруулдаг. Бүх <acronym>TCP/IP</acronym> үйлчилгээнүүд +(жишээ нь: telnet, www, mail, г.м.) өөрийн протокол болон зөвшөөрөгдсөн +(сонсож байгаа) портоороо тодорхойлогддог. +Тухайн нэг үйлчилгээ рүү зорисон пакетууд нь тусгай зориулалтаар ашиглагддаггүй + порт ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний порт руу + чиглэдэг. +Дээрх бүх параметрууд (өөрөөр хэлбэл: портууд болон хаягууд) дээр үндэслэн + нэвтрүүлэх болох хаах дүрмүүдийг зохиодог.</para> <indexterm> @@ -990,18 +981,6 @@ sh /etc/ipf.rules.script</programlisting> тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг бичих үндсэн арга барил юм.</para> - <!-- XXX: something like this already in - <xref linkend="firewalls-concepts"> - AND: the para below is repeated 3 times in this chapter--> - -<para>Хамааруулсан галт хана нь зөвхөн дүрмэнд тохирсон пакетуудыг нэвтрүүлнэ. -Ийм маягаар галт ханын цаанаас Интернэт уруу ямар ямар үйлчилгээнүүд -гарч болох болон эсрэгээр Интернэтээс дотоод сүлжээ уруу ямар ямар үйлчилгээнүүд хандаж -болохыг удирдах боломжтой. Эдгээрээс бусад бүх урсгалыг хааж, бүртгэдэг байхаар зохиогдсон -байдаг. Хамааруулсан галт хана нь хамааруулаагүй галт ханаас аюулгүй байдлын хувьд -хэд дахин илүү, тиймээс энд бид зөвхөн хамааруулсан галт ханын дүрмүүдийн талаар -ярилцах болно.</para> - <warning> <para>Галт ханын дүрмүүдтэй ажиллахдаа <emphasis>маш анхааралтай</emphasis> байх хэрэгтэй. Зарим тохиргоо серверээс @@ -1086,7 +1065,7 @@ sh /etc/ipf.rules.script</programlisting> <title>IN-OUT</title> <para>Дүрэм нь орох болон гарах урсгалын алинд үйлчлэхийг -заавал зааж өгөх ёстой. Энэ нь in эсвэл out түлхүүр үгийн аль нэг нь заавал +заавал зааж өгөх ёстой. Энэ нь <literal>in</literal> эсвэл <literal>out</literal> түлхүүр үгийн аль нэг нь заавал бичигдсэн байх ёстой гэсэн үг юм. Үгүй бол синтаксын алдаа өгч, танигдахгүй.</para> <para><literal>in</literal> гэдэг нь Интернэт уруу харж байгаа @@ -1126,15 +1105,15 @@ sh /etc/ipf.rules.script</programlisting> пакетийн хувьд үйлчилнэ. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ тохируулгыг заавал хэрэглэнэ.</para> - <para>пакетийг бүртгэхэд, түүний толгойг IPL пакет бүртгэх -хуурамч-төхөөрөмж уруу бичнэ. log түлхүүр үгийн дараа шууд залгаад, + <para>Пакетийг бүртгэхэд, түүний толгойг <acronym>IPL</acronym> пакет бүртгэх +хуурамч-төхөөрөмж уруу бичнэ. <literal>log</literal> түлхүүр үгийн дараа шууд залгаад, дараах тодотгогчдыг(дараах дэс дарааллаар) хэрэглэж болно:</para> <para><literal>body</literal> гэдэг нь пакетийн толгойн дараа пакетийн агуулгын эхний 128 байтыг бүртгэхийг зааж өгнө.</para> <para><literal>first</literal> Хэрэв <literal>log</literal> -түлхүүр үг <quote>keep state</quote> тохируулгын хамт хэрэглэгдсэн бол, +түлхүүр үг <literal>keep state</literal> тохируулгын хамт хэрэглэгдсэн бол, түүний араас ирэх <quote>keep state</quote>-д тохирч байгаа бүх пакетийг биш зөвхөн энэ тохируулгыг идэвхжүүлсэн эхний пакетийг бүртгэхийн тулд энэ тохируулгыг хэрэглэнэ.</para> @@ -1161,7 +1140,7 @@ sh /etc/ipf.rules.script</programlisting> <para><literal>tcp/udp | udp | tcp | icmp</literal> эсвэл <filename>/etc/protocols</filename> файл дотор байгаа протоколуудыг хэрэглэж болно. Тусгай <literal>tcp/udp</literal> гэсэн түлхүүр үг -<acronym>TCP</acronym> эсвэл UDP пакетийг сонгоход хэрэглэгддэг ба, +<acronym>TCP</acronym> эсвэл <acronym>UDP</acronym> пакетийг сонгоход хэрэглэгддэг ба, давхар эсвэл төстэй дүрмүүдийг арилгах үүднээс нэмэгдсэн байгаа.</para> </sect3> @@ -1171,22 +1150,18 @@ sh /etc/ipf.rules.script</programlisting> <para><literal>all</literal> гэсэн түлхүүр үг нь өөр ямар ч параметргүй <quote>from any to any</quote> гэдэгтэй адил юм.</para> - <para><literal>from src to dst</literal>: from ба to гэсэн + <para><literal>from src to dst</literal>: <literal>from</literal> ба <literal>to</literal> гэсэн түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. Дүрэмд хэрэглэхдээ эхлэл ба -очих параметрийг ХОЁУЛАНГ зааж өгөх ёстой. <literal>any</literal> +очих параметрийг <emphasis>хоёуланг</emphasis> зааж өгөх ёстой. <literal>any</literal> гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг зөвшөөрч өгч болно. -Хэрэглэх жишээ: <quote>from any to any</quote> - эсвэл <quote>from 0.0.0.0/0 to any</quote> эсвэл <quote>from any to - 0.0.0.0/0</quote> эсвэл <quote>from 0.0.0.0 to any</quote> эсвэл - <quote>from any to 0.0.0.0</quote>.</para> - - <!-- XXX: Needs rewording --> - - <para>IP хаягийг цэгтэй тоон хэлбэр болон багийн хамт эсвэл -зүгээр цэгтэй тоон хэлбэрээр бичиж болно.</para> - - <para>Багаар хялбархан илэрхийлэх боломжгүй IP хаягуудыг -хэрэглэх боломжгүй. Баг бичих талаар тусламжийг дараах вэб хуудсаар +Хэрэглэх жишээ: <literal>from any to any</literal> + эсвэл <literal>from 0.0.0.0/0 to any</literal> эсвэл <literal>from any to + 0.0.0.0/0</literal> эсвэл <literal>from 0.0.0.0 to any</literal> эсвэл + <literal>from any to 0.0.0.0</literal>.</para> + + <para>Цэгээр тусгаарлагдсан тоо/баг хэлбэрээр хялбархан илэрхийлэх боломжгүй IP хаягуудыг +хэрэглэх боломжгүй. <filename role="package">net-mgmt/ipcalc</filename> порт ашиглан үүнийг + хялбарчилж болох юм. Нэмэлт мэдээллийг дараах вэб хуудсаар орж үзнэ үү: <ulink url="http://jodies.de/ipcalc"></ulink>.</para> </sect3> @@ -1194,18 +1169,19 @@ sh /etc/ipf.rules.script</programlisting> <title>PORT</title> <para>Хэрэв эхлэл эсвэл очих порт, эсвэл хоёулангаар нь тохируулах бол -энэ нь зөвхөн <acronym>TCP</acronym> ба UDP пакетуудад хамаарна. Порт жишсэн дүрэм +энэ нь зөвхөн <acronym>TCP</acronym> ба <acronym>UDP</acronym> пакетуудад хамаарна. Порт жишсэн дүрэм бичихдээ <filename>/etc/services</filename> файл доторх үйлчилгээний нэр эсвэл -бүхэл тоон портын дугаарыг хэрэглэнэ. Портыг from обьекттой хамт хэрэглэх үед -энэ нь эхлэл портын дугаарыг, to обьекттой хамт хэрэглэх үед +бүхэл тоон портын дугаарыг хэрэглэнэ. Портыг <literal>from</literal> обьекттой хамт хэрэглэх үед +энэ нь эхлэл портын дугаарыг, <literal>to</literal> обьекттой хамт хэрэглэх үед энэ нь очих портын дугаарыг заана. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд port тохиргоог <literal>to</literal> обьекттой -заавал хамт хэрэглэнэ. Хэрэглэх жишээ: <quote>from any to any port = 80</quote></para> +заавал хамт хэрэглэнэ. Хэрэглэх жишээ: <literal>from any to any port = 80</literal></para> - <!-- XXX: Needs rewriting --> + <!-- XXX: Rewritten, but probably needs more changes --> - <para>Портыг жиших оператороор эсвэл порт зурвасыг зааж өгөх -зэргээр хэд хэдэн янзаар жишиж болно.</para> + <para>Портын харьцуулалтыг төрөл бүрийн жиших операторуудыг + ашиглан хэд хэдэн аргаар хийж болно. Портын зурвасыг бас + зааж өгч болно.</para> <para>port "=" | "!=" | "<" | ">" | "<=" | ">=" | "eq" | "ne" | "lt" | "gt" | "le" | "ge".</para> @@ -1224,7 +1200,7 @@ sh /etc/ipf.rules.script</programlisting> <title><acronym>TCP</acronym>_FLAG</title> <para>Тугуудыг зөвхөн <acronym>TCP</acronym> шүүлтийн үед хэрэглэнэ. -Үсгүүдээр нь <acronym>TCP</acronym> пакетийн толгойтойг шалгах боломжит тугуудыг +Үсгүүдээр нь <acronym>TCP</acronym> пакетийн толгойтой таарч байгаа эсэхийг шалгах боломжит тугуудыг үзүүлсэн байна.</para> <para>Орчин үеийн дүрэмтэй ажиллах логик нь <literal>flags S</literal> параметрийг @@ -1260,13 +1236,13 @@ tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэр Төлөвт шүүлт нь урсгалыг сесс харилцаанаас бүрдэж буй хоёр чиглэлтэй пакет солилцоо гэж үздэг. keep-state-г идэвхжүүлсэн үед, keep-state нь хоёр чиглэлтэй сесс харилцааны үед солилцсон бүх пакетуудын хувьд дотоод дүрмүүдийг динамик байдлаар үүсгэдэг. Мөн -энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа нь +энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг. Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.</para> - <para><acronym>TCP</acronym> эсвэл UDP сесстэй холбоотой -ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, keep state дүрмээр -зөвшөөрөгдсөн вэбээр хийх аялалын хариуд ICMP type 3 code 4 хариуг хүлээн авбал + <para><acronym>TCP</acronym> эсвэл <acronym>UDP</acronym> сесстэй холбоотой +<acronym>ICMP</acronym> пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, keep state дүрмээр +зөвшөөрөгдсөн вэбээр хийх аялалын хариуд <acronym>ICMP</acronym> type 3 code 4 хариуг хүлээн авбал галт хана үүнийг автоматаар нэвтрүүлнэ гэсэн үг юм. Хэрэв IPF хүлээн авсан пакетийг идэвхтэй байгаа сессийн нэг хэсэг гэж баттай итгэж байвал, өөр протокол дээр байсан ч пакетийг нэвтрүүлнэ.</para> @@ -1277,15 +1253,15 @@ ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, kee хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх -сесс харилцааны төлөв шинэчлэгдэнэ. Үлдсэн пакетуудыг гадагшаа урсгалын дүрмээр -шалгах болно.</para> +сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй +пакетуудыг гадагшаа урсгалын дүрмээр шалгах болно.</para> - <para>Интернэт уруу холбогдсон интерфэйс дээр ирж байгаа пакетуудыг + <para>Интернэт уруу холбогдсон интерфэйсээс ирж байгаа пакетуудыг хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх -сесс харилцааны төлөв шинэчлэгдэнэ. Үлдсэн пакетуудыг дотогшоо урсгалын дүрмээр -шалгах болно.</para> +сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй +пакетуудыг дотогшоо урсгалын дүрмээр шалгах болно.</para> <para>Харилцаа дуусахад динамик төлвийн хүснэгтээс зохих бичлэг устгагдана.</para> @@ -1296,7 +1272,7 @@ ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, kee автоматаар буцаагдана. Хэрэв шинэ сесс хаагдсан бол түүний дараагийн ямар ч пакет нэвтэрч чадахгүй. Төлөвт шүүлт нь сүүлийн үеийн халдлагуудад ашиглагдаж байгаа аргуудын эсрэг хамгаалах -чадвартай техникийн хувьд өндөр түвшний асуулга явуулах чадвартай юм.</para> +чадвартай, техникийн хувьд өндөр түвшний шүүлт хийх чадвартай юм.</para> </sect2> <sect2> @@ -1305,80 +1281,93 @@ ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, kee <title>Хамааруулсан дүрмийн олонлогийн жишээ</title> <para>Дараах дүрмийн олонлог нь аюулгүй байдлыг маш сайн хангасан, хамааруулсан -галт ханын дүрмүүдийг хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд -тохирсон үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. Бүх галт хананууд хамгийн багадаа хоёр -интерфэйстэй байх ба галт хана маягаар ажиллахын тулд дүрмүүдийг тусгайлан зааж өгсөн байна.</para> + галт ханын дүрмүүдийг хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн <literal>pass</literal> дүрмүүдэд + тохирсон үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. + Бусад машинуудыг хамгаалах ёстой галт хананууд буюу <quote>сүлжээний галт хананууд</quote> + нь багаар бодоход хоёр интерфэйстэй байх ёстой бөгөөд ерөнхийдөө + нэг талд (<acronym>LAN</acronym>) итгэж нөгөөд (Интернэт) итгэхгүй байхаар + тохируулагдсан байдаг. Мөн ажиллаж байгаа системээ зөвхөн хамгаалахаар + галт хана тохируулагдсан байж болох бөгөөд ийм галт ханыг <quote>хостын галт хана</quote> + гэх бөгөөд энэ нь итгэлгүй сүлжээн дэх серверүүдийн хувьд ялангуяа + тохиромжтой байдаг.</para> <para>&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем дэх дотоод харилцаандаа <devicename>lo0</devicename> интерфэйс болон <hostid role="ipaddr">127.0.0.1</hostid> гэсэн IP хаягийг хэрэглэхээр бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа эдгээр пакетуудыг чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.</para> - <para>Интернэттэй холбогдож байгаа интерфэйс дээр та өөрийн + <para>Интернэттэй холбогдож байгаа интерфэйс дээр Интернэт уруу гарч байгаа болон Интернэтээс ирж байгаа хандалтыг удирдах болон хянах дүрмүүдийг байрлуулна. Энэ нь таны PPP <devicename>tun0</devicename> интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.</para> - <para>Галт ханын цаана байгаа хувийн LAN-уудад нэг болон түүнээс дээш тооны NIC-ууд -холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN интерфэйсүүдээс ирсэн -пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.</para> + <para>Галт ханын цаана байгаа хувийн сүлжээнд нэг болон түүнээс дээш тооны NIC-ууд +холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN интерфэйсүүдийн нэгээс + нөгөө рүү ба/эсвэл гадагш гарсан пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.</para> - <para>Дүрмүүд эхлээд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан байх -ёстой: бүх чөлөөт халдашгүй интерфэйсүүд, нийтийн гадагшаа интерфэйс, ба -нийтийн дотогшоо интерфэйс.</para> + <para>Дүрмүүд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан байх +ёстой: эхлээд итгэлтэй интерфэйсүүд, дараа нь нийтийн гадагшаа интерфэйс, төгсгөлд нь +нийтийн итгэлтэй дотогшоо интерфэйс.</para> <para>Нийтийн интерфэйс хэсэгт байгаа дүрмүүд тухайн интерфэйс болон чиглэлийн хувьд хамгийн олон тохиолддог дүрмүүд нь хамгийн түрүүнд, цөөн тохиолддог дүрмүүдээс өмнө байхаар, хаах болох бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.</para> <para>Дараах жишээн дээрх Гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх -үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн 'pass' дүрмүүдээс бүрдэж байна. -Бүх дүрмүүд 'quick', 'on', 'proto', 'port', ба 'keep state' тохируулгуудыг агуулсан байгаа. -'proto tcp' дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг тодорхойлох байдлаар, -сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор 'flag' тохируулгыг агуулсан байна.</para> +үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн <literal>pass</literal> дүрмүүдээс бүрдэж байна. +Бүх дүрмүүд <literal>quick</literal>, <literal>on</literal>, +<literal>proto</literal>, <literal>port</literal>, болон <literal>keep state</literal> тохируулгуудыг агуулсан байгаа. +<literal>proto tcp</literal> дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг тодорхойлох байдлаар, +сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор <literal>flag</literal> тохируулгыг агуулсан байна.</para> <para>Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна. -Энэ нь хоёр өөр шалтгаантай. Эхнийх нь, энэ дүрмүүдээр хаагдсан зүйлс нь -доор байгаа өөр нэг дүрмээр зөвшөөрөгдсөн пакетийн нэг хэсэг байж болох талтай. Хоёр дахь -шалтгаан нь, цөөхөн тоотой хүлээж авдаг ба бүртгэх хүсэлгүй байгаа пакетуудыг сонгон, тэдгээрийг -бүрнээр хаах дүрмийг эхлээд бичиж өгснөөр эдгээр пакетууд хамгийн сүүлд байгаа ямар ч дүрмүүдэд -тохироогүй пакетуудыг бүртгээд хаана гэсэн дүрмээр дайрахгүй болгож байгаа юм. Учир нь энэ хэсгийн хамгийн -сүүлд байгаа бүгдийг бүртгээд хаана гэсэн дүрэм бол өөрийн систем уруу халдаж байгаа халдлагын нотолгоог -цуглуулах таны нэг арга билээ.</para> - - <para>Өөр нэг тэмдэглэн хэлэх зүйл бол, хүсээгүй пакетуудын хариуд ямар ч хариу явуулахгүй, -тэд зүгээр л орхигдож алга болно. Ингэснээр халдлага явуулагч түүний явуулсан пакетууд +Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетуудын зарим нь зөвшөөрсөн + урсгалын хэсэг байж болох юм. <literal>allow</literal> дүрэмд таарч байгаа + тэр хэсэг дээр тулгуурлан эдгээр пакетуудыг зөвшөөрөлгүйгээр + хаах ёстой. Хоёр дахь шалтгаан нь тухайн хэсэгт байгаа хамгийн сүүлийн + дүрмээр хааж бүртгэхийн оронд тэдгээр мэдэгдэж байгаа сонирхолгүй + татгалзалтуудыг чимээгүйгээр хааж болох юм. Хэсэг бүр дэх + сүүлийн дүрэм бүх пакетуудыг хааж бүртгэдэг бөгөөд таны систем рүү + халдаж байгаа хүмүүсийг шүүхэд шаардагдах баримтыг бий болгоход + ашиглагдаж болох юм.</para> + + <para>Өөр нэг санаа тавин тэмдэглэн хэлэх зүйл бол хүсээгүй урсгалын хариуд ямар ч хариу явуулахгүй + байх явдал юм. Буруу пакетуудыг зүгээр орхиж тэд алга болох ёстой юм. + Ингэснээр халдлага явуулагч түүний явуулсан пакетууд таны системд хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ, тэд ямар нэг муу зүйл хийж чадах хүртэл төдий чинээ урт хугацаа зарцуулна гэсэн үг юм. -Дотогшоо 'nmap OS fingerprint' оролдлогын эхний тохиолдлыг би бүртгэж байгаа, - - <!-- XXX: what? --> - яагаад гэвэл энэ бол гадны халдлагын нэг хэлбэр юм.</para> + <literal>log first</literal> тохируулгыг агуулах дүрмүүд + анхны удаа таарахад бүртгэж авдаг. Энэ тохируулга нь + жишээ <literal>nmap OS fingerprint</literal> дүрэмд орсон + байдаг. <filename role="package">security/nmap</filename> хэрэгслийг + халдагчид таны серверийн үйлдлийн системийг танихын тулд ихэвчлэн + ашигладаг.</para> - <para>'log first' орсон дүрмийн хувьд та анхны бүртгэлийг харах юм бол -<command>ipfstat -hio</command> тушаалаар энэ дүрэм хэдэн удаа тохирсон байгааг -шалгаарай. Магадгүй та халдлагад өртөж байж болох юм.</para> + <para><literal>log first</literal> дүрмийн хувьд бүртгэлийн мэдээлэл + бүртгэгдэх бүрт <command>ipfstat -hio</command> тушаалаар энэ дүрэм хэдэн + удаа тохирсон байгааг шалгаж болно. Ихээхэн хэмжээний бүртгэлийн + мэдээлэл нь таныг халдлагад өртөж байгааг ихэвчлэн илэрхийлдэг.</para> - <para>Хэрвээ мэдэхгүй дугаартай портын хувьд пакетууд бүртгэгдсэн байвал -<filename>/etc/services</filename> файлаас эсвэл + <para><filename>/etc/services</filename> файлыг ашиглан мэдэгдэхгүй + портын дугаарыг хайж олж болох юм. Мөн <ulink url="http://www.securitystats.com/tools/portsearch.php"></ulink> хаягаар тухайн -порт ямар зориулалтаар ашиглагддагийг орж шалгаарай.</para> +порт ямар зориулалтаар ашиглагддагийг орж шалгаж болох юм.</para> <para>Троянуудын хэрэглэдэг портын дугааруудыг <ulink url="http://www.simovits.com/trojans/trojans.html"></ulink> хаягаар орж шалгаарай.</para> - <para>Дараах дүрмийн олонлог нь миний өөрийн систем дээрээ хэрэглэдэг -аюулгүй байдлыг бүрэн хангасан хамааруулсан галт ханын дүрмийн олонлог байгаа юм. -Та энэ дүрмүүдийг өөрийн системдээ ашиглахад буруудах юмгүй. + <para>Дараах дүрмийн олонлог нь ажиллаж байгаа систем дээр шалгагдсан +аюулгүй байдлыг бүрэн хангасан хамааруулсан галт ханын дүрмийн олонлог юм. + Үүнийг өөрийн системд хялбарханаар тааруулж болох юм. Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах -нэвтрүүлэх дүрмийг далдлаарай.</para> +<literal>pass</literal> дүрмийг далдлаарай.</para> - <para>Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй, бүртгэхийг -хүсэхгүй байгаа бол дотогшоо хэсэгт хаах дүрэм нэмж бичээрэй.</para> + <para>Хүсээгүй мэдээллийг бүртгэхгүйн тулд дотогшоо хэсэгт + <literal>block</literal> дүрэм нэмж бичээрэй.</para> <para>Дүрэм бүрт байгаа <devicename>dc0</devicename> гэсэн интерфэйсийн нэрийн оронд -таны системийг Интернэт уруу холбож байгаа NIC картны интерфэйсийн нэрийг сольж тавиарай. +таны системийг Интернэт уруу холбож байгаа NIC картны интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн PPP-н хувьд, энэ нь <devicename>tun0</devicename> байна.</para> <para>Дараах илэрхийллүүдийг <filename>/etc/ipf.rules</filename> дотор бичих хэрэгтэй:</para> @@ -1399,9 +1388,9 @@ pass out quick on lo0 all ################################################################# # Interface facing Public Internet (Outbound Section) -# Interrogate session start requests originating from behind the +# Match session start requests originating from behind the # firewall on the private network -# or from this gateway server destine for the public Internet. +# or from this gateway server destined for the public Internet. ################################################################# # Allow out access to my ISP's Domain name server. @@ -1436,38 +1425,38 @@ pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state # Allow out nntp news pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state -# Allow out gateway & LAN users non-secure FTP ( both passive & active modes) +# Allow out gateway & LAN users' non-secure FTP ( both passive & active modes) # This function uses the IP<acronym>NAT</acronym> built in FTP proxy function coded in # the nat rules file to make this single rule function correctly. # If you want to use the pkg_add command to install application packages # on your gateway system you need this rule. pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state -# Allow out secure FTP, Telnet, and SCP +# Allow out ssh/sftp/scp (telnet/rlogin/FTP replacements) # This function is using SSH (secure shell) pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state -# Allow out non-secure Telnet +# Allow out insecure Telnet pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Allow out FBSD CVSUP function +# Allow out FreeBSD CVSup pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state # Allow out ping to public Internet pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state -# Allow out whois for LAN PC to public Internet +# Allow out whois from LAN to public Internet pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state # Block and log only the first occurrence of everything # else that's trying to get out. -# This rule enforces the block all by default logic. +# This rule implements the default block block out log first quick on dc0 all ################################################################# # Interface facing Public Internet (Inbound Section) -# Interrogate packets originating from the public Internet -# destine for this gateway server or the private network. +# Match packets originating from the public Internet +# destined for this gateway server or the private network. ################################################################# # Block all inbound traffic from non-routable or reserved address spaces @@ -1538,9 +1527,8 @@ pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state # Block and log only first occurrence of all remaining traffic # coming into the firewall. The logging of only the first -# occurrence stops a .denial of service. attack targeted -# at filling up your log file space. -# This rule enforces the block all by default logic. +# occurrence avoids filling up disk with Denial of Service logs. +# This rule implements the default block. block in log first quick on dc0 all ################### End of rules file #####################################</programlisting> </sect2> @@ -1562,7 +1550,7 @@ block in log first quick on dc0 all <see>NAT</see> </indexterm> - <para><acronym>NAT</acronym> нь Network Address Translation буюу + <para><acronym>NAT</acronym> нь <emphasis>Network Address Translation</emphasis> буюу Сүлжээний хаягийн Хөрвүүлэлтийн товчлол юм. &linux;-н талаар ойлголттой хүмүүсийн хувьд, энэ ойлголтыг IP маскарад гэж нэрлэдэг; <acronym>NAT</acronym> ба IP маскарад нь нэг зүйл юм. IPF <acronym>NAT</acronym>-н бидэнд олгож байгаа олон зүйлүүдийн нэг бол @@ -1572,25 +1560,20 @@ ISP-с оноож өгсөн ганц IP хаягийг Интернэтэд х <para>Ингэх ямар шаардлага байнаа гэж та гайхан асуух байх. ISP-ууд өөрийн ашгийн-бус хэрэглэгчиддээ ихэвчлэн динамик IP хаяг оноодог. Динамик гэдэг нь таныг ISP руу залган нэвтрэн орох болгонд, кабель эсвэл -DSL модемтой хэрэглэгчдийн хувьд модемоо асааж унтраах болгонд танд -өөр өөр IP хаяг онооно гэсэн үг юм. Энэ IP хаягаар та Интернэтэд гарах болно.</para> +DSL модемтой хэрэглэгчдийн хувьд модемоо асааж унтраах болгонд +өөр өөр IP хаяг онооно гэсэн үг юм. Таны системийг Интернэтэд танихад + энэ динамик IP хаягийг ашигладаг.</para> <para>Та гэртээ таван PC-тэй бөгөөд бүгд Интернэт уруу гардаг байх хэрэгтэй гэж бодъё. Тэгвэл та PC тус бүрт тусад нь эрх худалдан авч, таван утасны үзүүртэй байх хэрэгтэй болно.</para> - <para>Тэгвэл <acronym>NAT</acronym>-н тусламжтай та ISP-гаасаа зөвхөн ганцхан эрх худалдан аваад, -бусад дөрвөн PC-гээ switch буюу шилжүүлэгч уруу холбож, харин switch-ээ таны LAN-нд гарц байдлаар ажиллах + <para><acronym>NAT</acronym>-н тусламжтай ISP-гаас зөвхөн ганцхан эрх + шаардлагатай. Бусад дөрвөн PC-гээ switch буюу шилжүүлэгч уруу холбож, харин switch-ээ таны LAN-нд гарц байдлаар ажиллах &os; системийн NIC руу залгана. <acronym>NAT</acronym> нь LAN-д байгаа бүх PC-ны хувьд хувийн IP хаягийг ганцхан гадаад IP хаяг уруу автоматаар хөрвүүлэх болно. <acronym>NAT</acronym> нь эргэж ирж байгаа пакетуудын хувьд эсрэг хөрвүүлэлтийг мөн хийнэ.</para> - <para>Ихэнх тохиолдолд <acronym>NAT</acronym>-г ISP-н зөвшөөрөлгүйгээр, -мэдэгдэлгүйгээр хийдэг бөгөөд хэрэв ISP энэ тухайн мэдвэл таны эрхийг хаах -хүртэл арга хэмжээ авдаг. Зүй нь бол хэрэглэгчид Интернэт холболтондоо илүү мөнгө -төлж, хэзээ ч өөрчлөгдөхгүй бүлэг статик IP хаягийг авах явдал юм. ISP харин хэрэглэгчиддээ -итгэл хүлээлгэн хэрэглэгчид нь <acronym>NAT</acronym>-г дотоод хувийн LAN-даа хэрэглэнэ гэж боддог.</para> - - <para><acronym>NAT</acronym> хийгдсэн хувийн LAN IP хаягт зориулж бүлэг IP хаягийг тусгайлан + <para><acronym>NAT</acronym> хийгдсэн хувийн LAN-уудад зориулж бүлэг IP хаягийг тусгайлан гаргасан байдаг. RFC 1918 стандартад зааснаар бол, дараах бүлэг IP-г хувийн сүлжээндээ ашиглах боломжтой, эдгээр IP хэзээ ч гадаад Интернэт уруу гарахгүй болно:</para> @@ -1649,7 +1632,7 @@ DSL модемтой хэрэглэгчдийн хувьд модемоо аса <para><acronym>NAT</acronym> ажиллаж эхэлсний дараа <acronym>NAT</acronym> дүрмүүдэд өөрчлөлт оруулах шаардлагатай бол NAT дүрмүүд байгаа файл дотор өөрчлөлтийг хийсний дараа, одоо хэрэглэгдэж байгаа <acronym>NAT</acronym> дүрмүүдийг устгаж, хөрвүүлэгч хүснэгтийг цэвэрлэхийн -тулд ipnat тушаалыг <option>-CF</option> тугийн хамт ажиллуулах хэрэгтэй.</para> +тулд <command>ipnat</command> тушаалыг <option>-CF</option> тугийн хамт ажиллуулах хэрэгтэй.</para> <para>Харин <acronym>NAT</acronym> дүрмүүдийг дахин ачаалахдаа тушаалыг дараах байдалтай өгөх хэрэгтэй:</para> @@ -1707,7 +1690,7 @@ DSL модемтой хэрэглэгчдийн хувьд модемоо аса ээлж ирэх ба өөрийн дүрмүүдийг дээрээс доош шалгаж эхэлнэ. Хамгийн эхэнд тохирсон нь дийлнэ. <acronym>NAT</acronym> өөрийн дүрэм бүрийг пакетийн интерфэйсийн нэр болон эхлэл хаягаар тулгаж шалгана. Пакетийн интерфэйсийн нэр <acronym>NAT</acronym> -дүрэмтэй тохирвол пакетийн [эхлэл IP хаяг, өөрөөр хэлбэл хувийн LAN IP хаяг] +дүрэмтэй тохирвол пакетийн эхлэл IP хаяг (өөрөөр хэлбэл хувийн LAN IP хаяг) <acronym>NAT</acronym> дүрмийн сумны зүүн талд зааж өгсөн IP хаягийн зурвас дотор байгаа эсэхийг шалгана. Хэрэв энэ тохирвол пакетийн эхлэл хаягийг <literal>0/32</literal> түлхүүр үгийн тусламжтай @@ -1759,8 +1742,8 @@ LAN-тай сүлжээний хувьд, энэ олон хувийн IP хая <programlisting>map dc0 192.168.1.0/24 -> 0/32</programlisting> <para>Дээрх дүрмэнд пакет IP<acronym>NAT</acronym>-р дайрч өнгөрөхөд -пакетийн эхлэл порт өөрчлөгдөхгүй. portmap гэсэн түлхүүр үгийн тусламжтай -IP<acronym>NAT</acronym> эхлэл порт зурвасыг ашиглах боломжтой болно. +пакетийн эхлэл порт өөрчлөгдөхгүй. <literal>portmap</literal> гэсэн түлхүүр үгийг нэмсэнээр + IP<acronym>NAT</acronym>-ийг заасан зурвас дахь зөвхөн эхлэл портуудыг ашиглахаар зааж өгнө. Жишээ нь, дараах дүрэм IP<acronym>NAT</acronym>-г эхлэл порт хаягийг тухайн зурвас дотор байхаар өөрчлөхийг зааж өгч байна.</para> @@ -1777,7 +1760,7 @@ IP<acronym>NAT</acronym> эхлэл порт зурвасыг ашиглах б <para>Маш том LAN-уудын хувьд дэндүү олон LAN хаягуудыг нэг гадаад хаягт оноох нь боломжгүй болох үе ирдэг. Хэрэв бүлэг гадаад IP сул байгаа бол, -та эдгээр IP хаягуудыг <quote>цөөрөм</quote> байдлаар ашиглаж болох ба, +эдгээр IP хаягуудыг <quote>цөөрөм</quote> байдлаар ашиглаж болох ба, IP<acronym>NAT</acronym> эдгээрээс нэгийг сонгон авч гадагшаа явж байгаа пакетийн хаягт оноох байдлаар хэрэглэх болно.</para> @@ -1805,10 +1788,10 @@ IP<acronym>NAT</acronym> эдгээрээс нэгийг сонгон авч г мөн <acronym>NAT</acronym> хийгдсэн байх ёстой. Гэхдээ гаднаас ирж буй урсгалыг зөв LAN PC уруу дахин чиглүүлэх арга зам байх хэрэгтэй болно. Энэ асуудлыг шийдэхийн тулд IP<acronym>NAT</acronym> нь дахин чиглүүлэлт хийх -<acronym>NAT</acronym> нэмэлт боломжийг олгодог. Таны вэб сервер -<hostid role="ipaddr">10.0.10.25</hostid> гэсэн LAN хаягтай байна, -мөн та <hostid role="ipaddr">20.20.20.5</hostid> гэсэн ганц гадаад IP-тай -байлаа гэж бодъё. Тэгвэл та дүрмээ дараах байдалтай:</para> +<acronym>NAT</acronym> нэмэлт боломжийг олгодог. Вэб сервер +<hostid role="ipaddr">10.0.10.25</hostid> гэсэн LAN хаягтай бөгөөд +<hostid role="ipaddr">20.20.20.5</hostid> гэсэн ганц гадаад IP-тай +байлаа гэж бодъё. Тэгвэл дүрмийг дараах байдалтай:</para> <programlisting>rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting> @@ -1836,7 +1819,7 @@ FTP протоколыг шинээр гарч ирж байгаа Интерн хэзээ ч өөрчлөгдөөгүй бөгөөд орчин үеийн аюулгүй байдлын шаардлагад нийцэхгүй болсон билээ. FTP нь active буюу идэвхтэй, passive буюу идэвхгүй гэсэн хоёр горимд ажилладаг. Өгөгдлийн сувгийг хэрхэн ашиглаж байгаа дээр гол ялгаа нь гардаг. -Өгөгдлийн сувгийг ftp сесс хүсэгч байдлаар ажиллуулдаг тул идэвхгүй горимд ажиллах +Өгөгдлийн сувгийг эхэлж ftp сесс хүсэгч нь авдаг тул идэвхгүй горимд ажиллах нь аюулгүй байдлыг илүүтэйгээр хангана. FTP-н талаар илүү сайн тайлбарыг болон түүний горимуудын талаар <ulink url="http://www.slacksite.com/other/ftp.html"></ulink> хаягаар үзнэ үү.</para> @@ -1879,7 +1862,7 @@ FTP протоколыг шинээр гарч ирж байгаа Интерн <para><acronym>NAT</acronym> FTP прокси ашиглаж байгаа тохиолдолд FTP-н хувьд ганцхан шүүлтийн дүрэм хэрэгтэй.</para> - <para>FTP Прокси байхгүй бол та дараах гурван дүрмийг хэрэглэнэ:</para> + <para>FTP Прокси байхгүй бол дараах гурван дүрмийг хэрэглэнэ:</para> <programlisting># Allow out LAN PC client FTP to public Internet # Active and passive modes @@ -1903,7 +1886,7 @@ pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state</pro <secondary>IPFW</secondary> </indexterm> - <para>IPFIREWALL (IPFW) нь &os;-ийн хандиваар &os;-ийн сайн дурын гишүүдийн бүтээсэн, + <para>IPFIREWALL (<acronym>IPFW</acronym>) нь &os;-ийн хандиваар &os;-ийн сайн дурын гишүүдийн бүтээсэн, тэдний эрх мэдэлд байдаг галт ханын програм юм. Энэ нь хуучин уламжлалт төлөвт дүрмүүдийг хэрэглэдэг бөгөөд Simple Stateful logiс буюу Хялбар Төлөвт логикийг бий болгохын тулд уламжлалт дүрэм бичих техникийг хэрэглэдэг.</para> @@ -1925,8 +1908,8 @@ IPFW-н дүрмүүдийн хүчийг мэдрэхийн өмнө прото <para>IPFW нь долоон хэсгээс бүрдэнэ, гол хэсэг болох цөмийн галт ханын шүүлтийн дүрмийг боловсруулагч болон түүний бусад хэсэг болох пакет данслах боломж, бүртгэх боломж, <acronym>NAT</acronym> -боломжийг идэвхжүүлэх 'divert буюу эргүүлэх' дүрэм, болон өндөр түвшний тусгай зориулалттай боломжууд, -dummynet трафик хязгаарлагч боломжууд, 'fwd дүрэм' дамжуулах боломж, гүүр боломжууд, болон +боломжийг идэвхжүүлэх <literal>divert</literal> дүрэм, болон өндөр түвшний тусгай зориулалттай боломжууд, +dummynet трафик хязгаарлагч боломжууд, <literal>fwd дүрэм</literal> дамжуулах боломж, гүүр боломжууд, болон ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv6-г дэмждэг.</para> @@ -1940,7 +1923,7 @@ ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv </indexterm> <para>IPFW нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг. -rc.conf тохиргооны файл дотор <literal>firewall_enable="YES"</literal> илэрхийлэл байгаа үед систем IPFW цөмийн +<filename>rc.conf</filename> тохиргооны файл дотор <literal>firewall_enable="YES"</literal> илэрхийлэл байгаа үед систем IPFW цөмийн модулийг динамикаар ачаална. <acronym>NAT</acronym> функцыг ашиглахгүй бол IPFW-г цөмд эмхэтгэх шаардлага байхгүй.</para> @@ -1951,9 +1934,9 @@ IPFW-г цөмд эмхэтгэх шаардлага байхгүй.</para> <screen>ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled</screen> <para>Ачаалах боломжтой модульд бүртгэх боломжийг эмхэтгээгүй байгаа. -Бүртгэлийг идэвхжүүлэхийн тулд, мөн вербос бүртгэлийн хязгаарыг тогтоохын тулд -<filename>/etc/sysctl.conf</filename> файл дотор дараах илэрхийллүүдийг нэмж өгөх -хэрэгтэй, бүртгэлийн систем дараагийн удаа ачаалахад идэвхжинэ:</para> +Бүртгэлийг идэвхжүүлж вербос бүртгэлийн хязгаарыг тогтоохын тулд +<filename>/etc/sysctl.conf</filename> файл дотор тохируулж болох тохиргоо бий. +Эдгээр илэрхийллүүдийг нэмсэнээр бүртгэлийн систем дараагийн удаа ачаалахад идэвхжинэ:</para> <programlisting>net.inet.ip.fw.verbose=1 net.inet.ip.fw.verbose_limit=5</programlisting> @@ -1996,14 +1979,14 @@ net.inet.ip.fw.verbose_limit=5</programlisting> <programlisting>options IPFIREWALL_VERBOSE</programlisting> - <para>Энэ тохируулга 'log' гэсэн түлхүүр үг орсон дүрмийн хувьд + <para>Энэ тохируулга <literal>log</literal> гэсэн түлхүүр үг орсон дүрмийн хувьд IPFW-р дайран өнгөрөх пакетуудыг бүртгэх боломжтой болгоно.</para> <programlisting>options IPFIREWALL_VERBOSE_LIMIT=5</programlisting> <para>Энэ тохируулга &man.syslogd.8;-р нэгэн зэрэг бүртгэгдэж буй -пакетийн тоог хязгаарлана. галт ханын үйлдлүүдийг бүртгэхийг хүсэж байгаа -найрсаг орчнуудад та энэ тохируулгыг хэрэглээрэй. Энэ тохируулга нь +пакетийн тоог хязгаарлана. Галт ханын үйлдлүүдийг бүртгэхийг хүсэж байгаа +дайсагнасан орчнуудад энэ тохируулгыг хэрэглэж болно. Энэ тохируулга нь syslog-г живүүлэх замаар явагдах үйлчилгээг зогсоох халдлагыг хааж өгөх болно.</para> <indexterm> @@ -2014,8 +1997,8 @@ syslog-г живүүлэх замаар явагдах үйлчилгээг зо <programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT</programlisting> - <para>Энэ тохируулга нь галт ханыг дамжин өнгөрч байгаа бүх зүйлийг нэвтрүүлэх анхдагч -төлөвт оруулна. галт ханыг анх удаа тохируулж байгаа үед энэ нь илүү тохиромжтой.</para> + <para>Энэ тохируулга нь анхдагчаар галт ханыг дамжин өнгөрч байгаа бүх зүйлийг + нэвтрүүлэхийг зөвшөөрөх бөгөөд энэ нь галт ханыг анх удаа тохируулж байгаа үед илүү тохиромжтой.</para> <indexterm> <primary>цөмийн тохируулгууд</primary> @@ -2029,15 +2012,15 @@ syslog-г живүүлэх замаар явагдах үйлчилгээг зо <note> <para>Хэрэв та IPFIREWALL_DEFAULT_TO_ACCEPT-г оруулаагүй эсвэл -ирж байгаа пакетуудыг нэвтрүүлэх дүрмүүд бичээгүй бол та энэ машинаас ирж -байгаа болон явж байгаа бүх пакетуудыг хаачихлаа гэсэн үг юм.</para> +ирж байгаа пакетуудыг нэвтрүүлэх дүрмүүд бичээгүй бол ирж +байгаа болон явж байгаа бүх пакетуудыг галт хана хаах болно.</para> </note> </sect2> <sect2 id="firewalls-ipfw-rc"> <title><filename>/etc/rc.conf</filename> Тохируулгууд</title> - <para>галт ханыг идэвхжүүлэхийн тулд:</para> + <para>Галт ханыг идэвхжүүлэхийн тулд:</para> <programlisting>firewall_enable="YES"</programlisting> @@ -2068,7 +2051,7 @@ syslog-г живүүлэх замаар явагдах үйлчилгээг зо боломжгүй болгоно.</para> </listitem> <listitem> - <para><filename>filename</filename> — галт ханын дүрмүүдийг агуулсан + <para><filename><replaceable>filename</replaceable></filename> — галт ханын дүрмүүдийг агуулсан файлын бүрэн зам.</para> </listitem> </itemizedlist> @@ -2129,17 +2112,17 @@ sysctl хувьсагчаар дамжуулан хийж болно. <filename> <indexterm><primary><command>ipfw</command></primary></indexterm> - <para>галт ханыг ажиллаж байх явцад түүний идэвхтэй байгаа дотоод + <para>Галт ханыг ажиллаж байх явцад түүний идэвхтэй байгаа дотоод дүрмүүдэд шинэ дүрэм нэмэх, дүрэм хасах зэрэг өөрчлөлтүүдийг гараар хийх -гол механизм бол ipfw тушаал юм. Энэ аргыг хэрэглэхэд тулгардаг нэг асуудал -бол нэгэнт системийг унтраасан эсвэл зогсоосон бол таны нэмсэн эсвэл хассан +гол механизм бол <command>ipfw</command> тушаал юм. Энэ аргыг хэрэглэхэд тулгардаг нэг асуудал +бол нэгэнт системийг унтраасан эсвэл зогсоосон бол нэмсэн эсвэл хассан эсвэл өөрчилсөн бүх дүрмүүд алга болно. Бүх дүрмүүдээ нэг файлд бичээд систем ачаалах үед энэ файлыг ашиглан дүрмүүдийг ачаалах, эсвэл одоо ажиллаж байгаа галт ханын дүрмүүдийг файл дотор хийсэн өөрчлөлтүүдээр бүхлээр нь сольж тавих нь энд хэрэглэж байгаа, та бүхэнд зөвлөх арга барил юм.</para> <para>Удирдлагын дэлгэцэн дээр ажиллаж байгаа галт ханын -дүрмүүдийг харуулахад ipfw тушаалыг одоо хэр нь хэрэглэсээр байна. +дүрмүүдийг харуулахад <command>ipfw</command> тушаалыг одоо хэр нь хэрэглэсээр байна. IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувьд тухайн дүрэмд тохирсон пакетийг тоолох тоолуурыг үүсгэдэг. Ямар нэг дүрмийг шалгах үйл явцад тухайн дүрэм ажиллаж байгаа эсэхийг тогтоох аргуудын нэг бол дүрмийг тоолуурын хамт @@ -2154,8 +2137,8 @@ IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувь <screen>&prompt.root; <userinput>ipfw -t list</userinput></screen> - <para>Данслалтын мэдээлэл болон дүрмүүдийг тохирсон пакетийн тооны -хамт харахын тулд. Эхний багана нь дүрмийн дугаар, дараа нь энэ дүрэмд + <para>Дараагийн жишээ нь данслалтын мэдээлэл буюу дүрмүүдийг тохирсон пакетийн тооны +хамт харуулж байна. Эхний багана нь дүрмийн дугаар, дараа нь энэ дүрэмд тохирсон гарч байгаа пакетийн тоо, дараа нь энэ дүрэмд тохирсон орж байгаа пакетийн тоо, тэгээд дүрэм өөрөө байна.</para> @@ -2181,22 +2164,21 @@ IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувь <sect2 id="firewalls-ipfw-rules"> <title>IPFW Дүрмийн Олонлог</title> - <!-- XXX: looks incorrect (and duplicated 2 times in this chapter): - 1. Packet can be processed two times depend of firewall - firewall configuration, but "return trip back" is - another packet. - 2. "Each TCP/IP service ... is predefined by its protocol ..." - - this shold be about packet and it's parameters - (source/destination address and port). --> + <!-- This has already appeared once --> <para>Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг -нэвтрүүлэх болон хаахыг хэлж байгаа дүрмүүдийг дүрмийн олонлог гэнэ. Хостуудын -хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. галт ханын -дүрмийн олонлогоор пакет хоёр дахин шүүгдэнэ, эхний удаа Интернэтээс пакетийг -хүлээн авахад, дараагийн удаа буцаж Интернэт уруу гарч явахад. Бүх TCP/IP үйлчилгээнүүдийн -хувьд (жишээ нь: telnet, www, mail, г.м.) ямар протоколоор ажиллах болон эхлэл ба -очих IP хаяг, эхлэл ба очих порт хаяг зэргийг урьдаас тодорхойлж өгсөн байдаг. -Эдгээр үзүүлэлтүүд дээр үндэслэн нэвтрүүлэх болох хаах дүрмүүдийг зохиодог.</para> +нэвтрүүлэх болон хаахыг хэлж байгаа дүрмүүдийг IPFW дүрмийн олонлог гэнэ. Хостуудын +хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын +дүрмийн олонлог нь Интернэтээс ирж байгаа пакетууд болон тэдгээрт хариу болж +системээс явж байгаа пакетуудыг боловсруулдаг. +Бүх <acronym>TCP/IP</acronym> үйлчилгээнүүдийн +хувьд (жишээ нь: telnet, www, mail, г.м.) протокол болон зөвшөөрөгдсөн (сонсох) +портыг урьдчилан тодорхойлсон байдаг. +Тухайн нэг үйлчилгээ рүү чиглэсэн пакетууд нь зөвшөөрөгдөөгүй (өндөр) + портууд ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний + порт руу хүрдэг. Дээрх өгөгдлүүд (өөрөөр хэлбэл портууд ба хаягууд) + нь үйлчилгээнүүдийг зөвшөөрөх эсвэл хаах дүрмүүдийг үүсгэхэд + шалгуур болон ашиглагдаж болно.</para> <indexterm> <primary>IPFW</primary> @@ -2206,38 +2188,26 @@ IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувь <!-- Needs rewording to include note below --> - <para>пакетийг галт хана хүлээн аваад дүрмийн олонлогт байгаа хамгийн + <para>Пакетийг галт хана хүлээн аваад дүрмийн олонлогт байгаа хамгийн эхний дүрэмтэй тулгах ба цааш дүрмүүдийн дугаарын өсөх дарааллын дагуу дээрээс доош нэг нэгээр шалгаж эхэлнэ. Пакет аль нэг дүрмийн сонголтын параметртай тохирвол, түүнд харгалзах үйлдлийг хийж, тухайн пакетийн хувьд цааш хайлтыг дуусгана. Энэ аргыг <quote>эхэнд тохирсон нь дийлнэ</quote> хайлтын арга гэнэ. Хэрэв тухайн пакет ямар ч дүрэмд тохирохгүй бол, энэ пакетийг 65535 дугаартай бүх пакетийг хааж, явуулсан хүнд нь ямар ч хариу өгөлгүй орхигдуулна гэсэн -ipfw-н анхдагч дүрэмд албаар тохируулна.</para> +IPFW-н анхдагч дүрэмд албаар тохируулна.</para> <note> <para><literal>count</literal>, <literal>skipto</literal> ба <literal>tee</literal> дүрмүүдийн дараа хайлт үргэлжилнэ.</para> </note> - <para>Энд байгаа зааварчилгаанууд нь төлөвт 'keep state', 'limit', 'in'/'out', -ба via зэрэг тохируулгуудыг агуулсан дүрмүүд дээр үндэслэгдсэн байгаа. Энэ бол хамааруулсан + <para>Энд байгаа зааварчилгаанууд нь төлөвт <literal>keep state</literal>, <literal>limit</literal>, <literal>in</literal>, <literal>out</literal> + болон <literal>via</literal> зэрэг тохируулгуудыг агуулсан дүрмүүд дээр үндэслэгдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмийн олонлогийг бичих үндсэн арга барил юм.</para> - <!-- XXX: something like this already in - <xref linkend="firewalls-concepts"> - AND: the para below is repeated 3 times in this chapter. --> - -<para>Хамааруулсан галт хана нь зөвхөн дүрмүүдэд тохирсон пакетуудыг нэвтрүүлнэ. -Ийм маягаар галт ханын цаанаас Интернэт уруу ямар ямар үйлчилгээнүүд -гарч болох болон эсрэгээр Интернэтээс дотоод сүлжээ уруу ямар ямар үйлчилгээнүүд нэвтэрч -болохыг удирдах боломжтой. Эдгээрээс бусад бүх урсгалыг хааж, бүртгэдэг байхаар зохиогдсон -байдаг. Хамааруулсан галт хана нь хамааруулаагүй галт ханаас аюулгүй байдлын хувьд -хэд дахин илүү, тиймээс энд бид зөвхөн хамааруулсан галт ханын дүрмүүдийн талаар -ярилцах болно.</para> - <warning> - <para>галт ханын дүрмүүдтэй ажиллахдаа маш анхааралтай байх хэрэгтэй. + <para>Галт ханын дүрмүүдтэй ажиллахдаа маш анхааралтай байх хэрэгтэй. Зарим тохиргоо серверээс <emphasis>бүх холбоог тань тасалж</emphasis> мэднэ.</para> </warning> @@ -2314,14 +2284,14 @@ ipfw-н анхдагч дүрэмд албаар тохируулна.</para> <para><parameter>log</parameter> эсвэл <parameter>logamount</parameter></para> - <para>Пакет log гэсэн түлхүүр үг орсон дүрэмд тохироход, энэ тухай мессеж -syslogd уруу SECURITY гэсэн facility нэртэйгээр бүртгэгдэнэ. Зөвхөн -тухайн дүрмийн хувьд бүртгэгдсэн пакетийн тоо logamount параметрийн утгыг -даваагүй тохиолдолд бүртгэл явагдана. Хэрэв logamount-н утгыг зааж өгөөгүй бол, -sysctl-н net.inet.ip.fw.verbose_limit хувьсагчийн утгыг хязгаарын утга болгон авна. + <para>Пакет <literal>log</literal> гэсэн түлхүүр үг орсон дүрэмд тохироход, энэ тухай мессеж +&man.syslogd.8; уруу SECURITY гэсэн facility нэртэйгээр бүртгэгдэнэ. Зөвхөн +тухайн дүрмийн хувьд бүртгэгдсэн пакетийн тоо <literal>logamount</literal> параметрийн утгыг +даваагүй тохиолдолд бүртгэл явагдана. Хэрэв <literal>logamount</literal>-н утгыг зааж өгөөгүй бол, +sysctl-н <literal>net.inet.ip.fw.verbose_limit</literal> хувьсагчийн утгыг хязгаарын утга болгон авна. Аль ч тохиолдолд тэг гэсэн утга бүртгэлийн хязгаарыг үгүй болгоно. Хязгаарт тулсан тохиолдолд, бүртгэлийг дахин идэвхжүүлэхийн тулд бүртгэлийн тоолуурыг эсвэл -тухайн дүрмийн пакет тоолуурыг дахин эхлүүлнэ. ipfw reset log тушаалыг үзнэ үү.</para> +тухайн дүрмийн пакет тоолуурыг дахин эхлүүлнэ. <command>ipfw reset log</command> тушаалыг үзнэ үү.</para> <note> <para>Бүртгэл нь бусад бүх пакет тохирох нөхцлүүд амжилттай нотлогдсоны дараа, @@ -2339,44 +2309,38 @@ sysctl-н net.inet.ip.fw.verbose_limit хувьсагчийн утгыг хяз <para><parameter>udp | tcp | icmp</parameter></para> - <para>эсвэл <filename>/etc/protocols</filename> файлд байгаа ямар ч протоколын -нэрийг хэрэглэж болно. Харин утга нь шалгагдах протоколын нэрийг заана. Энэ бол заавал + <para><filename>/etc/protocols</filename> файлд байгаа ямар ч протоколын +нэрийг бас хэрэглэж болно. Харин утга нь шалгагдах протоколын нэрийг заана. Энэ бол заавал тавигдах шаардлага юм.</para> <para><parameter>from src to dst</parameter></para> -<para><literal>from src to dst</literal>: from ба to гэсэн -түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. Хэрэглэх бол эхлэл ба -очих параметрийг ХОЁУЛАНГ зааж өгөх хэрэгтэй. <literal>any</literal> -гэсэн тусгай түлхүүр үгийн тусламжтай ямар ч IP хаягийг зөвшөөрч өгч болно. -Хэрэглэх жишээ: <quote>from any to any</quote> - эсвэл <quote>from 0.0.0.0/0 to any</quote> эсвэл <quote>from any to - 0.0.0.0/0</quote> эсвэл <quote>from 0.0.0.0 to any</quote> эсвэл - <quote>from any to 0.0.0.0</quote>.</para> - - <para>from ба to гэсэн түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. -Дүрмэнд хэрэглэхдээ эхлэл ба очих параметрүүдийг ХОЁУЛАНГ зааж өгөх ёстой. + <para><literal>from</literal> ба <literal>to</literal> гэсэн түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. +Дүрмэнд хэрэглэхдээ эхлэл ба очих параметрүүдийг <emphasis>ХОЁУЛАНГ</emphasis> зааж өгөх ёстой. <literal>any</literal> гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг зөвшөөрч өгч болно. <literal>me</literal> гэсэн тусгай түлхүүр үг нь таны &os; системийн аль нэг интерфэйс дээр тохируулсан IP хаягийг заах ба -галт хана ажиллаж байгаа PC-г (өөрөөр хэлбэл энэ машин) 'from me to any' -эсвэл 'from any to me' эсвэл 'from 0.0.0.0/0 to any' эсвэл 'from any to 0.0.0.0/0' -эсвэл 'from 0.0.0.0 to any' эсвэл 'from any to 0.0.0.0' эсвэл 'from me to 0.0.0.0' +галт хана ажиллаж байгаа PC-г (өөрөөр хэлбэл энэ машин) <literal>from me to +any</literal> эсвэл <literal>from any to me</literal> эсвэл <literal>from 0.0.0.0/0 to any</literal> эсвэл +<literal>from any to 0.0.0.0/0</literal> эсвэл <literal>from 0.0.0.0 to any</literal> эсвэл <literal>from +any to 0.0.0.0</literal> or <literal>from me to 0.0.0.0</literal> гэсэн байдлаар төлөөлнө. IP хаягуудыг цэгтэй тоон хэлбэр/багийн-урт байдлаар эсвэл зүгээр цэгтэй тоон хэлбэрээр бичиж болно. Энэ бол заавал тавигдах шаардлага юм. -Багийн уртыг бичихтэй холбоотой тусламжийг дараах хаягаар орж үзнэ үү. <ulink url="http://jodies.de/ipcalc"></ulink></para> +Тооцооллыг хялбар болгохын тулд <filename role="package">net-mgmt/ipcalc</filename> +портыг ашиглаж болох юм. Нэмэлт мэдээллийг хэрэгслийн вэб хуудаснаас үзэж +болно: <ulink url="http://jodies.de/ipcalc"></ulink></para> <para><parameter>port number</parameter></para> <para>Портын дугаарыг дэмждэг протоколуудын хувьд -(<acronym>TCP</acronym> ба UDP гэх мэт), тааруулахыг хүсэж байгаа портын +(<acronym>TCP</acronym> ба <acronym>UDP</acronym> гэх мэт), тааруулахыг хүсэж байгаа портын дугаарыг заавал бичиж өгөх ёстой байдаг. Портын тоон утгын оронд үйлчилгээний нэрийг(<filename>/etc/services</filename> файлаас) хэрэглэж болно.</para> <para><parameter>in | out</parameter></para> <para>Орж байгаа болон гарч байгаа пакетуудыг харгалзан тааруулна. -in ба out нь түлхүүр үгүүд бөгөөд дүрэмд тааруулах шалгуур болгож энэ хоёр +<literal>in</literal> ба <literal>out</literal> нь түлхүүр үгүүд бөгөөд дүрэмд тааруулах шалгуур болгож энэ хоёр үгийн аль нэгийг заавал бичсэн байх ёстой.</para> <para><parameter>via IF</parameter></para> @@ -2401,7 +2365,8 @@ in ба out нь түлхүүр үгүүд бөгөөд дүрэмд таару <para>Дүрэмд заасантай адил параметрүүдтэй холболтын тоог <replaceable>N</replaceable>-р хязгаарлана. Нэг ба түүнээс дээш тооны эхлэл болон очих хаягууд, портуудыг зааж өгч болно. -'limit' ба 'keep-state'-г нэг дүрэмд хамтад нь хэрэглэж болохгүй. Limit нь 'keep-state'-тэй адил төлөвт +<literal>limit</literal> ба <literal>keep-state</literal>-г нэг дүрэмд хамтад нь хэрэглэж болохгүй. +<literal>limit</literal> тохируулга нь <literal>keep-state</literal>-тэй адил төлөвт функцуудыг гүйцэтгэхээс гадна өөрийн нэмэлт функцүүлтэй.</para> </sect4> </sect3> @@ -2422,7 +2387,7 @@ in ба out нь түлхүүр үгүүд бөгөөд дүрэмд таару хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг. Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.</para> - <para>'check-state' нь IPFW дүрмийн олонлогийн хаана нь пакетийг + <para><literal>check-state</literal> нь IPFW дүрмийн олонлогийн хаана нь пакетийг динамик дүрмүүдийн боломжоор шалгахыг тогтооно. Таарсан тохиолдолд, пакет галт ханыг нэвтэрч цааш явах ба энэ хоёр чиглэлт сесс харилцааны туршид солилцох пакетуудын хувьд шинэ динамик дүрэм үүснэ. Таараагүй тохиолдолд, @@ -2430,15 +2395,15 @@ in ба out нь түлхүүр үгүүд бөгөөд дүрэмд таару <para>Динамик дүрмүүдийн боломж нь маш олон тооны динамик дүрмүүдийг нээдэг SYN-живүүлэх халдлагаас үүсэх нөөцийн хомсдолд эмзэг байдаг. Энэ халдлагаас зайлсхийхийн -тулд &os; limit гэсэн шинэ тохируулгыг нэмж өгсөн байдаг. Энэ тохируулгын -тусламжтай нэгэн зэрэг явагдах сесс харилцааны тоог хязгаарлана. Limit тохируулгад +тулд &os; <literal>limit</literal> гэсэн шинэ тохируулгыг нэмж өгсөн байдаг. Энэ тохируулгын +тусламжтай нэгэн зэрэг явагдах сесс харилцааны тоог хязгаарлана. <literal>limit</literal> тохируулгад зааж өгсөн эхлэл болон очих талбаруудаар пакетийн IP хаягийг асуулга явуулах замаар шалгасны дараа, -энэ дүрэмд энэ IP хаягийн хослол хэдэн удаа таарсан тоог харгалзан хэрэв энэ тоо хязгаараас -давсан бол тухайн пакетийг гээнэ.</para> +энэ дүрэмд энэ IP хаягийн хослол хэдэн удаа таарсан тоог харгалзан хэрэв энэ тоо <literal>limit</literal>-д +зааснаас давсан бол тухайн пакетийг гээнэ.</para> </sect3> <sect3> - <title>галт ханын мессежийг бүртгэх</title> + <title>Галт ханын мессежийг бүртгэх</title> <indexterm> <primary>IPFW</primary> @@ -2453,27 +2418,27 @@ in ба out нь түлхүүр үгүүд бөгөөд дүрэмд таару <para>Бүртгэл хөтлөх боломжийг идэвхжүүлсэн хэдий ч, IPFW нь өөрөө ямар ч дүрмийг үүсгэхгүй. Администратор аль дүрмүүдийн хувьд -бүртгэл явуулахыг шийдэн, тэдгээр дүрмүүддээ log гэсэн түлхүүр үгийг нэмж бичнэ. +бүртгэл явуулахыг шийдэн, тэдгээр дүрмүүддээ <literal>log</literal> гэсэн түлхүүр үгийг нэмж бичнэ. Ихэвчлэн зөвхөн татгалзах дүрмүүдийг бүртгэдэг, жишээлбэл ирж буй <acronym>ICMP</acronym> ping-г -татгалзах гэх мэт. Хамгийн сүүлд байгаа ipfw-н анхдагч татгалзах дүрмийг хувилан log түлхүүр +татгалзах гэх мэт. Хамгийн сүүлд байгаа <quote>ipfw default deny everything</quote> дүрмийг хувилан <literal>log</literal> түлхүүр үгтэйгээр үүсгэх нь элбэг байдаг. Ийм байдлаар дүрмийн олонлогийн аль ч дүрмэнд таараагүй пакетуудыг харах боломжтой болно.</para> <para>Бүртгэл хөтлөлт нь хоёр талдаа иртэй сэлэмтэй адил юм, хэрэв та хайхрамжгүй хандвал, диск дүүрэн бүртгэлийн мэдээлэл дотроо учраа олохгүй суух болно. Дискийг дүүргэх DoS халдлага нь -хамгийн эртний халдлагуудын нэг юм. Эдгээр бүртгэлийн мессеж нь syslogd-д +хамгийн эртний халдлагуудын нэг юм. Эдгээр бүртгэлийн мессеж нь <application>syslogd</application>-д бичигдэхээс гадна, root консол дэлгэцэн дээр гарах учир удахгүй ядаргаатай санагдаж эхэлдэг.</para> <para><literal>IPFIREWALL_VERBOSE_LIMIT=5</literal> гэсэн -цөмийн тохируулга нь системийн бүртгэл хөтлөгч болох syslogd уруу +цөмийн тохируулга нь системийн бүртгэл хөтлөгч болох &man.syslogd.8; уруу шидэгдэж байгаа тухайн дүрэмд тохирсон пакетад харгалзах дараалсан мессежийн тоог хязгаарлана. Энэ тохируулгыг идэвхжүүлсэн үед, тодорхой дүрмийн хувьд дараалсан мессежийн тоог зааж өгсөн тоогоор хязгаарлана. Нэг ижил зүйлийг хэлсэн 200 бүртгэлийн бичлэгээс мэдэж авах зүйл хомс юм. -Жишээ нь, тодорхой дүрмийн хувьд дараалсан таван бичлэг syslogd-д бичигдэнэ, -үлдсэн дараалсан ижил бичлэгүүд тоологдоод syslogd-д дараах байдалтай бичигдэнэ:</para> +Жишээ нь, тодорхой дүрмийн хувьд дараалсан таван бичлэг <application>syslogd</application>-д бичигдэнэ, +үлдсэн дараалсан ижил бичлэгүүд тоологдоод <application>syslogd</application>-д дараах байдалтай бичигдэнэ:</para> <programlisting>last message repeated 45 times</programlisting> @@ -2486,13 +2451,13 @@ IPFW нь өөрөө ямар ч дүрмийг үүсгэхгүй. Админи <para>Туршлагатай IPFW хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд түүнийгээ скрипт байдлаар ажиллуулах боломжтой байхаар бичдэг. -Үүний гол давуу тал нь шинэ дүрмүүдийг идэвхжүүлэхийн тулд +Үүний гол давуу тал нь дүрмүүдийг идэвхжүүлэхийн тулд системийг дахин ачаалах шаардлагагүй болно. Энэ аргыг ашиглан хэдэн ч удаа дараалан галт ханын дүрмүүдийг ачаалж болох тул шинэ дүрмүүдийг шалгах үед хэрэглэхэд тохиромжтой байдаг. Скрипт учраас олон дахин бичигдэж байгаа утгын оронд симбол орлуулалтыг ашиглах боломжтой. Энэ талаар дараах жишээн дээрээс харна уу.</para> - <para>Энд хэрэглэгдсэн скриптийн синтакс нь sh, csh, ба tcsh бүрхүүл дээр ажиллах + <para>Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, &man.tcsh.1; бүрхүүл дээр ажиллах боломжтой. Симбол орлуулалттай талбарууд нь урдаа $ буюу долларын тэмдэгтэй байна. Симбол талбарууд нь $ тэмдэг урдаа байхгүй. Симбол талбарыг орлох утга нь давхар хашилтан (<literal>"</literal>) дотор байрлана.</para> @@ -2546,7 +2511,8 @@ ks="keep-state" # just too lazy to key this each time <para>Дараах <acronym>NAT</acronym> хийгдээгүй дүрмийн олонлог нь аюулгүй байдлыг маш сайн хангасан, хамааруулсан галт ханын дүрмүүдийг хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд тохирсон -үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. Бүх галт хананууд хамгийн багадаа хоёр +үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. Сүлжээний бүх сегментийг хамгаалахаар +хийгдсэн галт хананууд хамгийн багадаа хоёр интерфэйстэй байх ба галт хана маягаар ажиллахын тулд дүрмүүдийг тусгайлан зааж өгсөн байна.</para> @@ -2555,9 +2521,9 @@ ks="keep-state" # just too lazy to key this each time бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа эдгээр пакетуудыг чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.</para> - <para>Интернэттэй холбогдож байгаа интерфэйс дээр та өөрийн Интернэт уруу гарч -байгаа болон Интернэтээс ирж байгаа хандалтыг удирдах болон хянах дүрмүүдийг байрлуулна. -Энэ нь таны PPP <devicename>tun0</devicename> интерфэйс эсвэл таны DSL эсвэл кабель + <para>Интернэттэй холбогдож байгаа интерфэйс дээр гадагшаа болон +дотогшоо холболтуудыг удирдах болон хянах дүрмүүдийг байрлуулна. +Энэ нь таны <acronym>PPP</acronym> <devicename>tun0</devicename> интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.</para> <para>Галт ханын цаана байгаа хувийн LAN-уудад нэг болон түүнээс дээш @@ -2572,23 +2538,26 @@ ks="keep-state" # just too lazy to key this each time хувьд хаах болон бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.</para> <para>Дараах жишээн дээрх гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх -үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн 'allow' дүрмүүдээс бүрдэж байна. -Бүх дүрмүүд 'proto', 'port', 'in/out', 'via' ба 'keep state' тохируулгуудыг агуулсан байгаа. -'proto tcp' дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг keep state төлөвт хүснэгтэд нэмэх байдлаар, -сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор 'setup' тохируулгыг агуулсан байна.</para> +үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн <literal>allow</literal> дүрмүүдээс бүрдэж байна. +Бүх дүрмүүд <literal>proto</literal>, <literal>port</literal>, <literal>in/out</literal>, <literal>via</literal> ба +<literal>keep state</literal> тохируулгуудыг агуулсан байгаа. +<literal>proto tcp</literal> дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг keep state төлөвт хүснэгтэд нэмэх байдлаар, +сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор <literal>setup</literal> тохируулгыг агуулсан байна.</para> <para>Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна. -Энэ нь хоёр өөр шалтгаантай. Эхнийх нь, энэ дүрмүүдээр хаагдсан зүйлс нь доор байгаа өөр нэг дүрмээр -зөвшөөрөгдсөн пакетийн нэг хэсэг байж болох талтай. Хоёр дахь шалтгаан нь, цөөхөн тоотой хүлээж авдаг -ба бүртгэх хүсэлгүй байгаа пакетуудыг сонгон, тэдгээрийг бүрнээр хаах дүрмийг эхлээд бичиж өгснөөр -эдгээр пакетууд хамгийн сүүлд байгаа ямар ч дүрмүүдэд тохироогүй пакетуудыг бүртгээд хаана гэсэн -дүрмээр дайрахгүй болгож байгаа юм. Учир нь энэ хэсгийн хамгийн сүүлд байгаа бүгдийг бүртгээд хаана -гэсэн дүрэм бол өөрийн систем уруу халдаж байгаа халдлагын нотолгоог цуглуулах таны нэг арга билээ.</para> - - <para>Өөр нэг тэмдэглэн хэлэх зүйл бол, хүсээгүй пакетуудын хариуд ямар ч хариу явуулахгүй, -тэд зүгээр л орхигдож алга болно. Ингэснээр халдлага явуулагч түүний явуулсан пакетууд таны системд +Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетууд нь +зөвшөөрөгдсөн пакетийн нэг хэсэг байж болох талтай. Эдгээр пакетуудыг +<literal>allow</literal> дүрэмд таарсан хэсэг дээр тулгуурлан зөвшөөрөлгүйгээр орхих ёстой. +Хоёр дахь шалтгаан нь тухайн хэсгийн хамгийн сүүлийн дүрмээр хааж бүртгэхийн оронд мэдэгдэж байгаа, +сонирхолгүй пакетуудыг чимээгүйхэн хааж болох юм. +Бүх пакетуудыг бүртгээд хаадаг хэсгийн хамгийн сүүлийн дүрмийг өөрийн систем уруу халдаж +байгаа хүмүүсийг шүүхэд шаардагдах халдлагын нотолгоог цуглуулахад хэрэглэж болно.</para> + + <para>Өөр нэг тэмдэглэн хэлэх зүйл бол, хүсээгүй пакетуудын хариуд ямар ч хариу явуулахгүй + байх ёстойг санах хэрэгтэй. Буруу пакетууд орхигдож алга болох ёстой. + Ингэснээр халдлага явуулагч нь түүний явуулсан пакетууд таны системд хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ, төдий чинээ -аюулгүй байна гэсэн үг юм. Хэрвээ мэдэхгүй дугаартай портын хувьд пакетууд бүртгэгдсэн байвал +аюулгүй байна гэсэн үг юм. Танигдаагүй портын дугаартай пакетуудын хувьд <filename>/etc/services/</filename> файлаас эсвэл <ulink url="http://www.securitystats.com/tools/portsearch.php"> </ulink> хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаарай. Троянуудын хэрэглэдэг портын дугааруудыг <ulink @@ -2601,30 +2570,30 @@ url="http://www.simovits.com/trojans/trojans.html"></ulink> хаягаар ор <para>Дараах <acronym>NAT</acronym> хийгдээгүй дүрмийн олонлог нь бүрэн хэмжээний хамааруулсан дүрмийн олонлог байгаа юм. Та энэ дүрмүүдийг өөрийн системдээ ашиглахад буруудах юмгүй. Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах -нэвтрүүлэх дүрмийг далдлаарай. Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй, -бүртгэхийг хүсэхгүй байгаа бол дотогшоо хэсэгт хаах дүрэм нэмж бичээрэй. Дүрэм бүрт байгаа -'dc0' гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны -интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн PPP-н хувьд, энэ нь 'tun0' байна.</para> +<literal>pass</literal> дүрмийг далдлаарай. Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй, +бүртгэхийг хүсэхгүй байгаа бол дотогшоо хэсэгт <literal>deny</literal> дүрэм нэмж бичээрэй. Дүрэм бүрт байгаа +<devicename>dc0</devicename> гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны +интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн <acronym>PPP</acronym>-н хувьд, энэ нь <devicename>tun0</devicename> байна.</para> - <para>Эдгээр дүрмүүдийг хэрэглэх явцад та хэв маяг олж харах болно.</para> + <para>Эдгээр дүрмүүдийг хэрэглэх явцад хэв маяг олж харах болно.</para> <itemizedlist> <listitem> <para>Интернэт уруу чиглэсэн сесс эхлүүлэх хүсэлтийг төлөөлж байгаа -илэрхийллүүд бүгд keep-state хэрэглэж байгаа.</para> +илэрхийллүүд бүгд <literal>keep-state</literal> хэрэглэж байгаа.</para> </listitem> <listitem> <para>Интернэтээс ирж буй бүх зөвшөөрөгдсөн үйлчилгээнүүд живүүлэх халдлагыг -зогсоох үүднээс limit гэсэн тохируулгын хамт бичигдсэн байгаа.</para> +зогсоох үүднээс <literal>limit</literal> гэсэн тохируулгын хамт бичигдсэн байгаа.</para> </listitem> <listitem> - <para>Бүх дүрмүүд чиглэлийг тодотгохын тулд in эсвэл out-г хэрэглэсэн байгаа.</para> + <para>Бүх дүрмүүд чиглэлийг тодотгохын тулд <literal>in</literal> эсвэл <literal>out</literal>-г хэрэглэсэн байгаа.</para> </listitem> <listitem> - <para>Бүх дүрмүүд пакетийн дайран өнгөрөх интерфэйсийг тодорхойлж өгөхдөө via-г хэрэглэсэн байгаа.</para> + <para>Бүх дүрмүүд пакетийн дайран өнгөрөх <replaceable>interface-name</replaceable> интерфэйсийг тодорхойлж өгөхдөө <literal>via</literal>-г хэрэглэсэн байгаа.</para> </listitem> </itemizedlist> @@ -2715,8 +2684,8 @@ pif="dc0" # public interface name of NIC ################################################################# # Interface facing Public Internet (Inbound Section) -# Interrogate packets originating from the public Internet -# destine for this gateway server or the private network. +# Check packets originating from the public Internet +# destined for this gateway server or the private network. ################################################################# # Deny all inbound traffic from non-routable reserved address spaces @@ -2791,7 +2760,7 @@ pif="dc0" # public interface name of NIC <para>IPFW-н <acronym>NAT</acronym> функцыг идэвхжүүлэхийн тулд зарим нэмэлт тохиргооны илэрхийллүүдийг идэвхжүүлэх хэрэгтэй болдог. Цөмийн эх кодын -бусад IPFIREWALL илэрхийллүүд дээр 'option IPDIVERT' илэрхийллийг нэмж эмхэтгэн +бусад IPFIREWALL илэрхийллүүд дээр <literal>option IPDIVERT</literal> илэрхийллийг нэмж эмхэтгэн тусгайлан бэлдсэн цөмийг гаргаж авах хэрэгтэй.</para> <para><filename>/etc/rc.conf</filename> доторх энгийн IPFW тохируулгууд дээр @@ -2801,12 +2770,12 @@ pif="dc0" # public interface name of NIC natd_interface="rl0" # interface name of public Internet NIC natd_flags="-dynamic -m" # -m = preserve port numbers if possible</programlisting> - <para>Төлөвт дүрмүүдийг divert natd (Сүлжээний хаягийн Хөрвүүлэлт) + <para>Төлөвт дүрмүүдийг <literal>divert natd</literal> (Сүлжээний хаягийн Хөрвүүлэлт) дүрмийн хамт хэрэглэх нь дүрмийн олонлог бичих логикийг төвөгтэй болгодог. -'check-state' ба 'divert natd' дүрмүүдийн дүрмийн олонлог дахь байрлал нь маш +<literal>check-state</literal> ба <literal>divert natd</literal> дүрмүүдийн дүрмийн олонлог дахь байрлал нь маш их нөлөөтэй. Энэ нь хялбар дайраад-өнгөрөх логик урсгал биш болно. -'skipto' гэсэн шинэ үйлдлийн төрлийг хэрэглэх болно. skipto тушаалыг хэрэглэхийн тулд -хаашаа үсрэхээ тодорхойлохын тулд бүх дүрмүүдийг дугаарлах хэрэгтэй болно.</para> +<literal>skipto</literal> гэсэн шинэ үйлдлийн төрлийг хэрэглэх болно. <literal>skipto</literal>-г хэрэглэхдээ +<literal>skipto</literal> дүрмийн дугаар хаашаа үсрэхээ мэдэж байхын тулд бүх дүрмүүдийг дугаарлах хэрэгтэй болно.</para> <para>Дараах тайлбаргүй жишээн дээр пакет дүрмийн олонлогоор дайрч өнгөрөх дарааллыг тайлбарлахаар сонгон авсан дүрэм бичих арга байгаа юм.</para> @@ -2820,32 +2789,33 @@ natd_flags="-dynamic -m" # -m = preserve port numbers if possible</pr мөрөнд хувийн LAN IP хаяг бүртгэгдсэн байх нөхцөлийг хангана. Дараа нь, бүх зөвшөөрөх болон татгалзах дүрмүүдэд пакетийн явж буй чиглэл (өөрөөр хэлбэл гадагшаа эсвэл дотогшоо) ба интерфэйсийг зааж өгсөн байгааг анзаараарай. Мөн гадагшаа сесс эхлүүлэх хүсэлтүүд, -сүлжээний хаягийн хөрвүүлэлтийн бүх skipto дүрмүүд 500-с эхэлж байгааг анзаарна уу.</para> +сүлжээний хаягийн хөрвүүлэлтийн бүх <literal>skipto rule 500</literal>-с эхэлж байгааг анзаарна уу.</para> <para>Нэгэн LAN хэрэглэгч вэб хуудас үзэхийн тулд вэб хөтчийг хэрэглэж байна гэж бодъё. -Веб хуудсууд 80-р портыг ашиглан холбогдоно. Пакет галт хананд ирнэ, +Веб хуудсууд 80-р портоор дамждаг. Пакет галт хананд ирнэ, гадагшаа чиглэж байгаа тул 100-р дүрмэнд тохирохгүй. 101-р дүрмийг мөн өнгөрнө, яагаад гэвэл энэ нь хамгийн анхны пакет тул keep-state динамик хүснэгтэнд хараахан бичигдэж амжаагүй байгаа. Пакет эцэст нь 125-р дүрэм дээр ирж, дүрэмд таарна. Энэ пакет Интернэт уруу харсан NIC-р гадагшаа гарч байгаа. пакетийн эхлэл IP хаяг нь хувийн LAN IP хаяг хэвээр байгаа. -Энэ дүрмэнд таарах үед хоёр үйлдэл хийгдэнэ. keep-state тохируулга энэ дүрмийг +Энэ дүрмэнд таарах үед хоёр үйлдэл хийгдэнэ. <literal>keep-state</literal> тохируулга энэ дүрмийг keep-state динамик дүрмийн хүснэгтэнд нэмнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ. Үйлдэл нь динамик хүснэгтэд нэмэгдсэн мэдээллийн нэг хэсэг байна. Энэ тохиолдолд -"skipto rule 500" байна. 500-р дүрэм нь пакетийн IP хаягийг <acronym>NAT</acronym> хийж, +<literal>skipto rule 500</literal> байна. 500-р дүрэм нь пакетийн IP хаягийг <acronym>NAT</acronym> хийж, пакетийг гадагш явуулна. Үүнийг бүү мартаарай, энэ бол маш чухал шүү. -Энэ пакет өөрийн замаар хүрэх газраа хүрээд буцаж ирэхдээ мөн л энэ дүрмийн олонлогийг дайрна. +Энэ пакет өөрийн замаар хүрэх газраа хүрэх бөгөөд хариу пакет үүсч буцаж илгээгдэнэ. +Энэ шинэ пакет буцаж ирэхдээ мөн л энэ дүрмийн олонлогийг дайрна. Энэ үед харин 100-р дүрэмд тохирч, очих IP хаяг нь буцаж харгалзах LAN IP хаяг уруу хөрвүүлэгдэнэ. -Дараа нь check-state дүрмээр гарах ба хүснэгтэнд явагдаж байгаа сесс харилцаанд оролцож байгаа +Дараа нь <literal>check-state</literal> дүрмээр гарах ба хүснэгтэнд явагдаж байгаа сесс харилцаанд оролцож байгаа гэж тэмдэглэгдсэн тул цааш LAN уруу нэвтрэн орно. Тэгээд өөрийг нь анх явуулсан LAN PC уруу очих ба алсын серверээс өөр хэсэг өгөгдлийг авахыг хүссэн шинэ пакетийг явуулна. Энэ удаа энэ пакет -check-state дүрмээр шалгагдах ба түүний гадагшаа урсгалд харгалзах мөр олдох тул харгалзах -үйлдэл 'skipto 500'-г гүйцэтгэнэ. Пакет 500-р мөр уруу үсэрч <acronym>NAT</acronym> хийгдэн цааш +<literal>check-state</literal> дүрмээр шалгагдах ба түүний гадагшаа урсгалд харгалзах мөр олдох тул харгалзах +үйлдэл <literal>skipto 500</literal>-г гүйцэтгэнэ. Пакет 500-р мөр уруу үсэрч <acronym>NAT</acronym> хийгдэн цааш өөрийн замаар явах болно.</para> <para>Дотогшоо урсгал дээр, идэвхтэй сесс харилцаанд оролцож байгаа -гаднаас ирж байгаа бүх зүйлс автоматаар check-state дүрмээр болон зохих -divert natd дүрмүүдээр шийдэгдэнэ. Энд бидний хийх ёстой зүйл бол +гаднаас ирж байгаа бүх зүйлс автоматаар <literal>check-state</literal> дүрмээр болон зохих +<literal>divert natd</literal> дүрмүүдээр шийдэгдэнэ. Энд бидний хийх ёстой зүйл бол хэрэггүй пакетуудыг татгалзаж, зөвшөөрөгдсөн үйлчилгээг нэвтрүүлэх юм. Галт ханын байгаа машин дээр апачи сервер ажиллаж байна, тэгээд Интернэтээс хүмүүс энэ дотоод вэб сайт уруу хандаж байна гэж бодъё. Шинэ дотогшоо сесс эхлүүлэх @@ -2855,8 +2825,8 @@ divert natd дүрмүүдээр шийдэгдэнэ. Энд бидний хи Энэ дүрэм keep-state динамик дүрмийн хүснэгтэнд нэмэгдэнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ. Гэвч энэ тохиолдолд энэ эхлэл IP хаягнаас эхэлсэн шинэ сесс эхлүүлэх хүсэлтийн тоо 2-оор хязгаарлагдана. Энэ нь тодорхой порт дээр ажиллаж байгаа үйлчилгээний хувьд DoS халдлагаас хамгаална. -Харгалзах үйлдэл нь зөвшөөрөгдсөн тул пакет LAN уруу нэвтэрнэ. Буцах замд check-state -дүрэм энэ пакетийг идэвхтэй сесс харилцаанд хамаарч байгааг таних тул 500-р дүрэм уруу шилжүүлэн, +Харгалзах үйлдэл нь <literal>allow</literal> тул пакет LAN уруу нэвтэрнэ. Хариу болон үүсгэгдсэн пакетыг +<literal>check-state</literal> дүрэм идэвхтэй сесс харилцаанд хамаарч байгаа гэж танина. Тэгээд 500-р дүрэм уруу шилжүүлэн, пакет тэнд <acronym>NAT</acronym> хийгдээд цааш гадагшаа интерфэйсээр гарна.</para> <para>Жишээ дүрмийн олонлог #1:</para> @@ -2948,9 +2918,9 @@ pif="rl0" # public interface name of NIC ################################################################# # Interface facing Public Internet (Outbound Section) -# Interrogate session start requests originating from behind the +# Check session start requests originating from behind the # firewall on the private network or from this gateway server -# destine for the public Internet. +# destined for the public Internet. ################################################################# # Allow out access to my ISP's Domain name server. @@ -2998,8 +2968,8 @@ pif="rl0" # public interface name of NIC ################################################################# # Interface facing Public Internet (Inbound Section) -# Interrogate packets originating from the public Internet -# destine for this gateway server or the private network. +# Check packets originating from the public Internet +# destined for this gateway server or the private network. ################################################################# # Deny all inbound traffic from non-routable reserved address spaces |